攻擊者繼續(xù)以 Microsoft 身份為目標(biāo),以獲取對連接的 Microsoft 應(yīng)用程序和聯(lián)合 SaaS 應(yīng)用程序的訪問權(quán)限。此外,攻擊者繼續(xù)在這些環(huán)境中進(jìn)行攻擊,不是通過利用漏洞,而是通過濫用本機(jī) Microsoft 功能來實現(xiàn)其目標(biāo)。與 SolarWinds 攻擊相關(guān)的攻擊者組織 Nobelium 已被記錄使用本機(jī)功能,例如創(chuàng)建聯(lián)合信任,以實現(xiàn)對 Microsoft 租戶的持久訪問。
本文演示了一個附加的本機(jī)功能,當(dāng)攻擊者利用該功能時,可以實現(xiàn)對 Microsoft 云租戶的持久訪問以及對另一個租戶的橫向移動功能。此攻擊媒介使在受損租戶中操作的攻擊者能夠濫用配置錯誤的跨租戶同步 (CTS) 配置并獲取對其他已連接租戶的訪問權(quán)限,或部署惡意 CTS 配置以維持租戶內(nèi)的持久性。Vectra AI 尚未觀察到該技術(shù)在野外的使用情況,但鑒于歷史上類似功能的濫用情況,Vectra AI 為防御者提供了詳細(xì)信息,以了解攻擊將如何呈現(xiàn)以及如何監(jiān)控其執(zhí)行。此外,Vectra 攻擊信號情報TM。
CTS 是 Microsoft 的一項新功能,使組織能夠同步來自其他源租戶的用戶和組,并授予他們對目標(biāo)租戶中的資源(Microsoft 和非 Microsoft 應(yīng)用程序)的訪問權(quán)限。CTS 功能建立在以前的 B2B 信任配置之上,可實現(xiàn)不同租戶之間的自動化和無縫協(xié)作,并且是許多組織希望采用的功能。
對于像跨附屬公司擁有多個租戶的企業(yè)集團(tuán)這樣的組織來說,CTS 是一項強(qiáng)大而有用的功能,但如果配置和管理不正確,也會引發(fā)不良行為者潛在的偵察、橫向移動和持久性攻擊。請繼續(xù)閱讀,了解攻擊者可以利用 CTS 來濫用從潛在受感染租戶到配置了 CTS 信任關(guān)系的任何其他租戶的信任關(guān)系的潛在風(fēng)險和攻擊路徑。
漏洞利用技術(shù)遵循假定妥協(xié)哲學(xué)。這些漏洞利用中使用的技術(shù)假設(shè) Microsoft 云環(huán)境中的身份已被泄露。在現(xiàn)實環(huán)境中,這可能源于具有 Microsoft 托管標(biāo)識的 Intune 托管終結(jié)點上的瀏覽器妥協(xié)。
| 源租戶 | 同步用戶和組的租戶 |
| 目標(biāo)租戶 | 擁有同步用戶和組資源的租戶 |
| 資源 | Microsoft 應(yīng)用程序(Teams、SharePoint 等)和非 Microsoft 應(yīng)用程序(ServiceNow、Adobe 等) |
| CTS | 本文檔中引用“跨租戶同步”的縮寫 |
| 計算機(jī)輔助技術(shù)協(xié)會 | 本文檔中引用“跨租戶訪問”的縮寫 |
| 賬戶受損 | 對手初始訪問點 |
有關(guān) CTS 配置的重要信息:
本文中描述的攻擊技術(shù)需要某些許可證和特權(quán)帳戶泄露或權(quán)限升級到受感染租戶中的某些角色。全局管理員角色可以在租戶中執(zhí)行所有這些操作。
| 行動 | 來源租戶 | 目標(biāo)租戶 |
| 租戶執(zhí)照 | Azure AD 高級版 P1 或 P2 | Azure AD 高級版 P1 或 P2 |
| 配置號召性用語 | 安全管理員 | 安全管理員 |
| 配置CTS | 混合身份管理員 | 不適用 |
| 將用戶分配給 CTS 配置 | 云管理員或應(yīng)用程序管理員 | 不適用 |
在受損環(huán)境中操作的攻擊者可以利用現(xiàn)有的 CTS 配置租戶從一個租戶橫向移動到另一個連接的租戶。
| 圖 1:橫向移動攻擊概述 |
攻擊者訪問受感染的租戶。
攻擊者對環(huán)境進(jìn)行偵察,以識別通過部署的跨租戶訪問策略連接的目標(biāo)租戶。
攻擊者檢查每個已連接租戶的跨租戶訪問策略配置,以識別啟用了“出站同步”的租戶。啟用出站同步的 CTA 策略允許當(dāng)前租戶中的用戶和組同步到目標(biāo)租戶中。
通過CTA策略配置分析,攻擊者發(fā)現(xiàn)已連接的啟用了出站同步的租戶,并將該租戶設(shè)置為橫向移動的目標(biāo)。
然后,攻擊者會對受感染的租戶進(jìn)行偵察,以找到運行將用戶和組同步到目標(biāo)租戶的作業(yè)的 CTS 同步應(yīng)用程序。
沒有直接的方法可以找到鏈接到目標(biāo)租戶的 CTS 同步應(yīng)用程序。攻擊者可以枚舉租戶中的服務(wù)主體,嘗試驗證目標(biāo)租戶的憑據(jù),以最終找到將同步作業(yè)托管到目標(biāo)租戶的應(yīng)用程序。它可以通過像這樣的簡單模塊來完成。
識別出 CTS 同步應(yīng)用程序后,攻擊者可以修改其配置,將當(dāng)前受感染的用戶帳戶添加到應(yīng)用程序同步范圍中。這會將受損的用戶帳戶同步到目標(biāo)租戶,并使用最初受損的相同憑據(jù)授予攻擊者對目標(biāo)租戶的訪問權(quán)限。
或者,攻擊者還可以檢查 CTS 同步應(yīng)用程序配置,以識別配置的同步范圍并采取相應(yīng)行動。
例如,如果同步范圍中的對象是一個組,則攻擊者可以嘗試將受感染的用戶帳戶直接或間接添加到該組,這將自動允許受感染的帳戶同步到目標(biāo)租戶中。
如果沒有明確的 CTA 入站條件阻止目標(biāo)租戶中的同步,則受感染的帳戶將同步到目標(biāo)租戶中。
攻擊者使用最初受損的相同帳戶橫向移動到目標(biāo)租戶。
在受感染的租戶中操作的攻擊者可以部署惡意的跨租戶訪問配置來維持持久訪問。
| 圖2:CTS后門攻擊概述 |
添加新的 CTA 策略,并將源租戶定義為攻擊者控制的外部租戶。
配置新的 CTA 策略以啟用“入站同步”。
為入站用戶同步啟用“自動用戶同意”。
Vectra 現(xiàn)有的警報組合能夠在了解此操作的含義以及此事件之前將發(fā)生的預(yù)期操作之前檢測到此活動。
事實上,這種技術(shù)并沒有實際利用漏洞,一旦對手處于具有足夠權(quán)限的環(huán)境中,就更難阻止。然而,Vectra 的人工智能驅(qū)動檢測旨在檢測這些類型的特權(quán)濫用場景,而無需依賴簽名或已知操作列表。
Vectra 的 Azure AD 權(quán)限操作異常監(jiān)視環(huán)境和每個用戶中每個操作的潛在價值。人工智能不斷創(chuàng)建環(huán)境中應(yīng)發(fā)生的操作類型的基線,并識別基于云的特權(quán)濫用的情況。通過關(guān)注特權(quán)濫用行為,Vectra 能夠識別新興技術(shù),例如此處記錄的技術(shù)。
|
|
| 圖 3:在受感染租戶中部署跨租戶訪問策略的受感染帳戶 |
|
|
| 圖 4:受感染的帳戶啟用租戶入站同步 |
|
|
| 圖 5:受感染的帳戶啟用自動用戶同意兌換 |
攻擊者在攻擊之前發(fā)生的操作(例如令牌盜竊或其他形式的帳戶泄露后的帳戶訪問)將通過 Vectra 檢測(例如 Azure AD 異常腳本引擎使用、Azure AD 可疑登錄或 Azure AD 可疑)發(fā)出警報OAuth 應(yīng)用程序。
定期有效地測試環(huán)境是對防御網(wǎng)絡(luò)攻擊的能力充滿信心的最佳方法。MAAD-Attack Framework是一款開源攻擊模擬工具,它結(jié)合了最常用的攻擊者技術(shù),允許安全團(tuán)隊通過簡單的交互式終端在其環(huán)境中快速有效地模擬它們。
安全團(tuán)隊可以使用 MAAD-AF 模塊“利用跨租戶同步”來模擬和測試其環(huán)境中的 CTS 利用技術(shù)。
黑客越來越多地濫用 Cloudflare Tunnels 進(jìn)行隱秘連接
惡意 PyPi 包創(chuàng)建 CloudFlare 隧道來繞過防火墻
新的惡意軟件活動利用 OpenBullet 配置瞄準(zhǔn)缺乏經(jīng)驗的網(wǎng)絡(luò)犯罪分子
加密貨幣詐騙者偽裝成 NFT 開發(fā)者
馬克·扎克伯格對于 8 月 26 日與埃隆·馬斯克的比賽“沒有屏住呼吸”
杰克·摩爾聲音的大盜:虛擬綁架的概念
瀏覽器指紋識別能提高網(wǎng)站安全性嗎?
您使用的每個應(yīng)用程序和您訪問的每個網(wǎng)站都會收集您的數(shù)據(jù)。 但你知道他們獲取了什么數(shù)據(jù)嗎?
介紹視頻封面完整版-jpg.webp)
