Azure AD:n (AAD) vierastilit on tarkoitettu tarjoamaan rajoitettu pääsy yrityksen resursseihin ulkopuolisille kolmansille osapuolille – ideana on mahdollistaa yhteistyö ilman liiallista altistumista. Yritykset saattavat kuitenkin tietämättään ylijakaa pääsyn arkaluonteisiin resursseihin ja sovelluksiin Azure AD:n vieraiden kanssa, mikä tasoittaa tietä datavarkauksille ja muille.
Tuleva esitys klo Musta hattu USA elokuussa kerrotaan, kuinka myrkyllinen yhdistelmä helposti manipuloitavia vierastilin oletusasetuksia ja epämääräisiä yhteyksiä Microsoftin matalan koodin kehitysalustan sisällä tunnetaan nimellä Power Apps voi avata oven antaakseen vierastileille laajan pääsyn yrityksen jalokiviin. Power Apps tarjoaa nopean kehitysympäristön yrityksille luoda mukautettuja sovelluksia, jotka yhdistävät erilaisia online- ja paikallisia tietolähteitä (kuten SharePoint, Microsoft 365, Dynamics 365, SQL Server ja niin edelleen).
Tutkija Michael Bargury, Zenityn teknologiajohtaja, esittelee havaintonsa istunnossa torstaina 10. elokuuta, jonka otsikkona on "Kaikki mitä tarvitset on vieras.” Hän totesi istunnon kirjoituksessa, että vieraat voivat käyttää dokumentoimattomia sovellusliittymiä päästäkseen käsiksi yrityksen SQL-palvelimiin, SharePoint-sivustoihin, KeyVault-salaisuuksiin ja muihin; he voivat myös luoda ja hallita sisäisiä liiketoimintasovelluksia, jotka voivat siirtyä sivusuunnassa organisaation sisällä.
"Organisaatiota puolustavan sinisen tiimin näkökulmasta toivon osoittavani, että vieraiden kutsuminen sisältää paljon enemmän riskejä kuin he luulevatkaan", hän sanoo. "Tämä on ensimmäinen tietoinen tutkimus, joka osoittaa, että vieraat voivat todella päästä käsiksi tietoihin, eivät vain ymmärtämään hakemistoasi tai jotain sellaista."
Kaksivaiheinen polku haitalliseen Azure AD -käyttöön
Bargury sanoo, että mahdollinen altistuminen voidaan saavuttaa kaksivaiheisella prosessilla. Ensimmäinen osa hänen esittelystään Black Hat USA:ssa osoittaa, kuinka helppoa on ottaa vierastili oletusasetuksilla - sellaisilla, jotka käytännössä osoittavat pääsyn ilman sovelluksia - ja käyttämällä muutamia halpoja manipulaatioita, joihin kuuluu kokeilukäyttöoikeuksien luominen ja niiden peruuttaminen. , antaa vieraskäyttäjälle näkyvyyden Power Appsin oletusympäristöön, joka on olemassa kyseisessä AAD-vuokraajassa.
Kun tämä näkyvyys on luotu, vieraskäyttäjät voivat nähdä kaikki Power Appsissa luodut sovellusyhteydet, jotka kehittäjät ovat merkinneet "jaetuiksi kaikkien kanssa".
"Näyttämäni ongelman perimmäinen syy tulee, kun joku on luonut tai jakanut sovelluksen käyttämällä jotakin, jota Microsoft kutsuu "jaa kaikkien kanssa", Bargury huomauttaa. "Ja kun jaat kaikkien kanssa, saatat ajatella, että se jaetaan kaikkien organisaatiosi jäsenten kanssa, mutta käytännössä se tarkoittaa kaikkia AAD-vuokralaisessa, mukaan lukien vieraat."
Nämä sovellukset puolestaan muodostavat yhteyden taustalla oleviin tietoihin, jotka voivat olla arkaluonteisia.
"Nämä ovat resurssit Azure AD:ssa. Ne voivat olla on-premissä, ne voivat olla ihmisten omia henkilökohtaisia tilejä, jotka on jaettu yli organisaation”, hän sanoo.
Oletusarvoisesti vain siksi, että vierastili näki nämä yhteydet, ei välttämättä tarkoita, että he voisivat käyttää niitä tietojen hakemiseen Microsoftin Power Platformin DLP-ohjaimien kaltaisilla suojauksilla luomien rajoitusten ansiosta. Bargury kuitenkin osoittaa, kuinka hän pystyy kiertämään nämä suojat hyökkäysprosessin toisena vaiheena.
"Kun olet sisään ja näet asiat, jotka on jaettu liikaa, sinun on voitava käyttää niitä", hän sanoo. "Käytän muiden tekemää tutkimusta, jonka avulla voin periaatteessa tavoittaa Microsoftin sisäisiä API-liittymiä olemassa olevilla käyttäjätodennustiedoilla. Syy siihen, miksi pystyn käymään kaikki nämä yhteydet läpi ja jättämään datan niiden taakse, on se, että pystyin irrottamaan Power Platformin etupään API:t ja selvittämään niiden takana olevan infrastruktuurin. Ja olen periaatteessa vain suoraan yhteydessä infrastruktuuriin etupään API-liittymien suhteen, mikä tarkoittaa, että voin a) kiertää puolustukset; ja b) älä jätä tukkeja."
Rajoitetaan turhan ylijakamisen aiheuttamaa kyberriskiä
Bargury sanoo, että hänen puheensa antaa hälytyksen siitä, kuinka vakava tämä ongelma on, ja tarjoaa myös yleisölle työkalut tämän altistumisen aiheuttaman riskin hallintaan. Hän myös opastaa yleisöä konfiguraatioiden läpi, joita he voivat muuttaa rajoittaakseen vieraiden pääsyä AAD-ympäristössään, ja hän puhuu siitä, kuinka voidaan havaita manipulaatiot, jotka voivat johtaa tähän myrkylliseen vierastilien ylijakamiseen.
"Yksi tärkeimmistä asioista, joita teen täällä, on tutkimuksen käyttäminen todennustunnuksien hankkimiseksi sisäisiin API-liittymiin", hän sanoo. "Ja se on tapahtuma, jonka voit määrittää AAD:n kirjautumaan. Jos huomaat, että käyttäjä, erityisesti vieraskäyttäjä, on varannut itselleen todennustunnuksen sisäiselle Microsoft API:lle, jota ei pitäisi paljastaa, tämän pitäisi olla punainen lippu.
Osana keskustelua Bargury aikoo hylätä uuden PowerGuest-nimisen työkalun, tutkivan tarkastustyökalun, joka auttaa sekä sinisiä että punaisia tiimiläisiä ymmärtämään AAD-vuokralaisen vieraiden käytön todellisen laajuuden.
Toinen tärkeä seikka, johon hän keskittyy, on se, että puolustajien pitäisi todellakin alkaa saada parempi käsitys AAD-ympäristöissään Power Appsin kautta avatuista yhteyksistä ja tunnistetiedoista.
"Jos rakennat asioita matalakoodisten alustojen päälle, sinun on ymmärrettävä, että sinun on erittäin helppoa jakaa tunnistetietoja ja identiteettejä eri käyttäjien kesken. Kun luot sovelluksen ja jaat sen muiden ihmisten kanssa, he päätyvät pääsemään taustalla olevaan yhteyteen, taustalla olevaan tietolähteeseen", sanoo Bargury, joka käsitteli tätä konseptia eri tutkimuksessa. esiteltiin aiemmin tänä vuonna RSA-konferenssissa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.darkreading.com/black-hat/azure-ad-guests-steal-data-microsoft-power-apps
