Azure AD (AAD) のゲスト アカウントは、外部のサードパーティに企業リソースへの限定的なアクセスを提供することを目的としています。その考えは、過度の危険を冒さずにコラボレーションを可能にすることです。 しかし、企業は、機密性の高いリソースやアプリケーションへのアクセスを、知らず知らずのうちに Azure AD のゲストと過剰に共有し、データ盗難などへの道を開いてしまっている可能性があります。
次のプレゼンテーションで ブラックハットUSA XNUMX 月には、Microsoft のローコード開発プラットフォーム内で、簡単に操作できるデフォルトのゲスト アカウント設定と無差別接続の有害な組み合わせがどのように発生するかについて詳しく説明します。 Power Appsとして知られています ゲスト アカウントに企業の宝物への幅広いアクセスを提供する扉を開くことができます。 Power Apps は迅速な開発環境を提供します 企業向けに、さまざまなオンラインおよびオンプレミスのデータ ソース (SharePoint、Microsoft 365、Dynamics 365、SQL Server など) に接続するカスタム アプリを構築します。
Zenity の CTO である研究者 Michael Bargury は、10 月 XNUMX 日木曜日のセッションで「」と題した研究結果を発表します。必要なのはゲストだけ」 同氏はセッションの記事で、ゲストが文書化されていない API を使用して企業 SQL サーバー、SharePoint サイト、KeyVault シークレットなどにアクセスできる可能性があると指摘しました。 また、組織内で横方向に移動する内部ビジネス アプリケーションを作成および制御することもできます。
「組織を守るブルーチームの観点から、ゲストを招くことには彼らが思っている以上に大きなリスクが伴うということを示したいと思っています」と彼は言う。 「これは、ゲストがディレクトリなどを理解するだけでなく、実際にデータにアクセスできることを示した初めての調査です。」
悪意のある Azure AD アクセスへの XNUMX 段階のパス
Bargury 氏は、潜在的な暴露は XNUMX 段階のプロセスを通じて達成できると述べています。 Black Hat USA での彼のデモンストレーションの最初の部分では、デフォルト設定 (基本的にアプリケーションへのアクセスを示さない設定) でゲスト アカウントを取得し、試用ライセンスの作成とキャンセルを含むいくつかの安価な操作を使用することがいかに簡単であるかを示します。を使用すると、ゲスト ユーザーに、その AAD テナントに存在する Power Apps の既定の環境を表示できるようになります。
この可視性が確立されると、ゲスト ユーザーは、Power Apps で作成され、開発者によって「全員と共有」としてマークされたすべてのアプリケーション接続を表示できるようになります。
「私が示している問題の根本原因は、誰かが Microsoft が『全員と共有』と呼ぶものを使用してアプリケーションを作成または共有したときに発生します」と Bargury 氏は指摘します。 「全員と共有すると、組織内の全員と共有されると思うかもしれませんが、本質的にはゲストを含む AAD テナント内の全員を意味します。」
次に、これらのアプリは機密性の高い可能性のあるデータにバックグラウンドで接続します。
"これらは Azure AD のリソース。 これらはオンプレミスにある場合もあれば、組織全体で過剰に共有されている個人アカウントである場合もあります」と彼は言います。
デフォルトでは、ゲスト アカウントがこれらの接続を参照できるからといって、Microsoft が Power Platform DLP コントロールなどの保護を通じて設けた制限のおかげで、ゲスト アカウントがそれらの接続を使用してデータを取得できるとは限りません。 ただし、Bargury は、攻撃プロセスの XNUMX 番目のステップとして、これらの保護を回避する方法を実証します。
「いったん参加して、過剰に共有されているものを確認したら、それを使用できるようにする必要があります」と彼は言います。 「私は、基本的に既存のユーザー認証を使用して内部 Microsoft API にアクセスできるようにする、他の人が行った研究を利用しています。 これらの各接続を通過して、その背後にあるデータをダンプできる理由は、Power Platform のフロントエンド API を剥がし、その背後にあるインフラストラクチャを理解することができたからです。 そして、私は基本的にフロントエンド API の観点からインフラストラクチャに直接アクセスしているだけです。つまり、a) 防御を回避できます。 b) ログを残さない。」
無差別な過剰共有によるサイバーリスクを制限する
バーグリー氏は、彼の講演はこの問題がいかに深刻であるかについて警鐘を鳴らすとともに、聴衆にこの暴露によってもたらされるリスクを把握するためのツールを提供するだろうと述べた。 また、AAD 環境でのゲスト アクセスの範囲を制限するために変更できる構成について聴衆に説明し、ゲスト アカウントへの有害な過剰共有につながる可能性のある操作を検出する方法についても説明します。
「私がここで行っている重要なことの XNUMX つは、研究を利用して内部 API への認証トークンを取得することです」と彼は言います。 「そして、これはログに記録するように AAD を構成できるイベントです。 ユーザー、特にゲスト ユーザーが、公開すべきではない内部 Microsoft API に認証トークンをプロビジョニングしたことが判明した場合、これは危険信号です。」
Bargury 氏は講演の一環として、PowerGuest と呼ばれる新しいツールをリリースする予定です。これは、青チームと赤チームの両方が AAD テナント内のゲスト アクセスの真の範囲を理解するのに役立つ探索的監査ツールです。
彼が焦点を当てるもう XNUMX つの重要な点は、防御者は Power Apps を通じて AAD 環境で開かれる接続と資格情報をより深く理解し始める必要があるということです。
「ローコード プラットフォーム上に何かを構築している場合は、さまざまなユーザー間で資格情報や ID を共有するのが非常に簡単であることを理解する必要があります。 アプリケーションを作成し、それを他の人と共有すると、その人は最終的に、基礎となる接続、基礎となるデータ ソースにアクセスできるようになります」と、別の研究でこの概念に取り組んだ Bargury 氏は述べています。 今年初めの RSA カンファレンスで発表されました.
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/black-hat/azure-ad-guests-steal-data-microsoft-power-apps
