Aufkommender Angreifer Exploit: Mandantenübergreifende Synchronisierung von Microsoft

1. August 2023
Arpan Sarkar
Senior Sicherheitsingenieur
Aufkommender Angreifer Exploit: Mandantenübergreifende Synchronisierung von Microsoft

Vectra Research hat vor kurzem eine Methode entdeckt, mit der die von Microsoft neu freigegebenen Funktionen genutzt werden können, um eine seitliche Verschiebung zu einem anderen Microsoft-Mieter durchzuführen.

Zusammenfassung

  • Vectra Research hat einen neuen Angriffsvektor gegen Azure Active Directory identifiziert, der eine laterale Bewegung zu anderen Microsoft-Tenants ermöglicht.
  • Vectra demonstriert auch die Technik zur Aufrechterhaltung des dauerhaften Zugriffs in einem Azure-Mandanten, die hier erstmals beschrieben wird.
  • Die zugrundeliegende Funktionalität für die Ausführung dieses Angriffsvektors ist in jeder Microsoft-Installation vorhanden.
  • Dieser Angriffsvektor folgt ähnlichen bekannten Angriffsvektoren wie dem Missbrauch der Domänenföderation oder dem Hinzufügen eines Partnerunternehmens, was eine aktive Überwachung zur Erkennung und Reaktion erfordert.
  • Vectra hat einen POC für Sicherheitstests innerhalb des Open-Source MAAD Attack Frameworks veröffentlicht.
  • Vectra hat bestätigt, dass die KI-Erkennungen von Vectra diesen Vorgang abdecken, bevor die Techniken in diesem Bericht dokumentiert wurden.

Einführung

Angreifer haben es weiterhin auf Microsoft-Identitäten abgesehen, um sich Zugang zu verbundenen Microsoft-Anwendungen und föderierten SaaS-Anwendungen zu verschaffen. Darüber hinaus entwickeln die Angreifer ihre Angriffe in diesen Umgebungen weiter, und zwar nicht durch die Ausnutzung von Schwachstellen, sondern durch den Missbrauch nativer Microsoft-Funktionen, um ihr Ziel zu erreichen. Die Angreifergruppe Nobelium, die mit den SolarWinds-Angriffen in Verbindung steht, nutzt nachweislich systemeigene Funktionen wie die Erstellung von Federated Trusts [4] um einen dauerhaften Zugriff auf einen Microsoft-Mandanten zu ermöglichen.

In diesem Blog-Beitrag demonstrieren wir eine zusätzliche systemeigene Funktion, die es einem Angreifer ermöglicht, dauerhaft auf einen Microsoft cloud -Tenant zuzugreifen und sich in einen anderen Tenant zu bewegen. Dieser Angriffsvektor ermöglicht es einem Angreifer, der in einem kompromittierten Tenant operiert, eine falsch konfigurierte CTS-Konfiguration (Cross-Tenant Synchronization) zu missbrauchen und sich Zugang zu anderen verbundenen Tenants zu verschaffen oder eine betrügerische CTS-Konfiguration einzusetzen, um die Persistenz innerhalb des Tenants aufrechtzuerhalten.

Wir haben den Einsatz dieser Technik in freier Wildbahn nicht beobachtet, aber angesichts des historischen Missbrauchs ähnlicher Funktionen stellen wir Details vor, damit Verteidiger verstehen, wie der Angriff aussehen würde und wie sie seine Ausführung überwachen können. Darüber hinaus wird in diesem Blog erläutert, wie Vectra-Kunden derzeit abgedeckt sind - und zwar vom ersten Tag an, als die Funktion für diese Technik durch unsere KI-gesteuerten Erkennungen und Vectra Attack Signal IntelligenceTM freigegeben wurde.

Mieterübergreifende Synchronisierung

CTS ist eine neue Funktion von Microsoft, die es Unternehmen ermöglicht, Benutzer und Gruppen aus anderen Quell-Tenants zu synchronisieren und ihnen Zugriff auf Ressourcen (sowohl Microsoft- als auch Nicht-Microsoft-Anwendungen) im Ziel-Tenant zu gewähren. Die CTS-Funktionen bauen auf früheren B2B-Vertrauenskonfigurationen auf und ermöglichen eine automatisierte und nahtlose Zusammenarbeit zwischen verschiedenen Tenants, eine Funktion, die viele Unternehmen übernehmen wollen. [2][3]

Schematische Darstellung der mandantenübergreifenden Synchronisierung

CTS ist eine leistungsstarke und nützliche Funktion für Organisationen wie z. B. Unternehmenskonglomerate mit mehreren Tenants in verschiedenen Unternehmen, bietet aber auch die Möglichkeit von Erkundungs-, Lateralisierungs- und Persistenzangriffen durch bösartige Akteure, wenn es nicht richtig konfiguriert und verwaltet wird. Wir werden die potenziellen Risiken und Angriffswege erörtern, die Angreifer nutzen können, um CTS auszunutzen und Vertrauensbeziehungen von einem potenziell gefährdeten Mandanten zu einem anderen Mandanten zu missbrauchen, der mit einer CTS-Vertrauensbeziehung konfiguriert ist. 

  • Mit CTS können Benutzer aus einem anderen Mandanten mit einem Zielmandanten synchronisiert (hinzugefügt) werden.
  • Eine locker konfigurierte CTS-Konfiguration kann ausgenutzt werden, um von einem kompromittierten Mandanten zu einem anderen Mandanten derselben oder einer anderen Organisation überzuwechseln.
  • Eine betrügerische CTS-Konfiguration kann als Backdoor-Technik eingesetzt werden, um den Zugriff von einem externen, von einem Angreifer kontrollierten Microsoft-Mandanten zu erhalten.

Angenommener Kompromiss!

Die Exploit-Techniken folgen der Philosophie der angenommenen Kompromittierung (Assumed Compromise). Die in diesen Exploits verwendeten Techniken gehen davon aus, dass eine Identität in einer Microsoft cloud Umgebung kompromittiert wurde. In einer realen Umgebung könnte dies von einer Browser-Kompromittierung auf einem von Intune verwalteten endpoint mit einer von Microsoft verwalteten Identität ausgehen.

Terminologie

Terminologie-Tabelle

Der Vermittler

Wichtige Informationen zur CTS-Konfiguration: 

Die Attacke

Die in diesem Blog beschriebenen Angriffstechniken erfordern bestimmte Lizenzen und die Kompromittierung eines privilegierten Kontos oder die Ausweitung der Berechtigungen auf bestimmte Rollen im kompromittierten Mandanten. Eine Global Admin-Rolle kann alle diese Aktionen in einem Tenant durchführen. [2]

Angriffs-Tabelle

Technik 1: Seitliche Bewegung

Ein Angreifer, der in einer kompromittierten Umgebung operiert, kann einen bestehenden CTS-Konfigurations-Tenant ausnutzen, um seitlich von einem Tenant zu einem anderen verbundenen Tenant zu wechseln.

Schematische Darstellung des Angriffs bei seitlicher Bewegung
Abbildung 1: Überblick über den Angriff mit seitlicher Bewegung

  1. Der Angreifer greift auf den kompromittierten Mandanten zu. 
  2. Der Angreifer durchforstet die Umgebung, um die Ziel-Tenants zu identifizieren, die über bereitgestellte Cross-Tenant-Access-Richtlinien verbunden sind.

Computer-Screenshot

  1. Der Angreifer überprüft die Konfiguration der Cross-Tenant-Access-Richtlinie für jeden verbundenen Tenant, um einen Tenant mit aktivierter Outbound-Synchronisierung zu finden. Die CTA-Richtlinie mit aktivierter Outbound-Synchronisierung ermöglicht die Synchronisierung von Benutzern und Gruppen aus dem aktuellen Tenant mit dem Ziel-Tenant.

Computer-Screenshot

  1. Anhand der Analyse der CTA-Richtlinienkonfiguration findet der Angreifer einen verbundenen Mandanten mit aktivierter ausgehender Synchronisierung und legt diesen Mandanten als Ziel für eine seitliche Bewegung fest.

Computer-Screenshot

  1. Nachdem der Angreifer die CTS-Synchronisierungsanwendung identifiziert hat, kann er deren Konfiguration so ändern, dass er das aktuell kompromittierte Benutzerkonto zum Synchronisierungsbereich der Anwendung hinzufügt. Dadurch wird das kompromittierte Benutzerkonto mit dem Ziel-Tenant synchronisiert und der Angreifer erhält mit denselben ursprünglich kompromittierten Anmeldedaten Zugriff auf den Ziel-Tenant.

Computer-Screenshot

  1. Wenn es keine expliziten CTA-Eingangsbedingungen gibt, die die Synchronisierung im Zielmandanten blockieren, wird das kompromittierte Konto mit dem Zielmandanten synchronisiert.
  2. Der Angreifer dringt seitlich in den Ziel-Tenant ein und verwendet dabei das gleiche, ursprünglich kompromittierte Konto.

Technik 2: Hintertür

Ein Angreifer, der in einem kompromittierten Mandanten operiert, kann eine betrügerische mandantenübergreifende Zugangskonfiguration einsetzen, um einen dauerhaften Zugang zu erhalten.

Schemata für Backdoor-Angriffe
Abbildung 2: Überblick über den CTS-Backdoor-Angriff

  1. Der Angreifer greift auf den kompromittierten Mandanten zu.
  1. Der Angreifer kann nun jederzeit neue Benutzer aus seinem Tenant per Push mit dem Tenant des Opfers synchronisieren. Dadurch erhält der Angreifer über das extern kontrollierte Konto künftig Zugriff auf Ressourcen im Ziel-Tenant.

Verteidigung

Vectra-Kunden:

Vectras bestehendes Portfolio an Warnmeldungen ist in der Lage, diese Aktivität zu erkennen, noch bevor die Auswirkungen auf den Betrieb sowie die erwarteten Aktionen, die vor diesem Ereignis stattfinden würden, verstanden werden.

Die Tatsache, dass bei dieser Technik keine eigentliche Schwachstelle ausgenutzt wird, macht es schwieriger, sie zu verhindern, sobald ein Angreifer mit ausreichenden Privilegien in der Umgebung ist. Die KI-gesteuerten Erkennungsfunktionen von Vectra wurden jedoch so konzipiert, dass sie diese Art von Szenarien des Missbrauchs von Privilegien erkennen, ohne dass sie auf Signaturen oder Listen bekannter Operationen angewiesen sind.

Azure AD Privilege Operation Anomaly von Vectra überwacht den zugrunde liegenden Wert jeder Operation in der Umgebung und jedes Benutzers. Die KI erstellt kontinuierlich eine Grundlinie der Arten von Aktionen, die in der Umgebung stattfinden sollten, und identifiziert Fälle von cloud-basiertem Missbrauch von Berechtigungen. Durch die Fokussierung auf das Verhalten von Berechtigungsmissbrauch ist Vectra in der Lage, aufkommende Techniken wie die hier dokumentierte zu identifizieren.

Computer-Screenshot
Abbildung 3: Kompromittiertes Konto, das eine mandantenübergreifende Zugriffsrichtlinie in einem kompromittierten Mandanten einsetzt

Computer-Screenshot
Abbildung 4: Kompromittiertes Konto, das die Inbound-Synchronisierung in den Mandanten aktiviert

Computer-Screenshot
Abbildung 5: Kompromittiertes Konto, das die automatische Einlösung der Benutzerzustimmung aktiviert

Angreiferaktionen, die vor dem Angriff stattfinden, wie z. B. der Zugriff auf ein Konto nach einem Token-Diebstahl oder andere Formen der Kontokompromittierung, werden von Vectra-Erkennungen wie Azure AD Unusual Scripting Engine Usage, Azure AD Suspicious Sign-on oder Azure AD Suspicious OAuth Application gemeldet.

Microsoft Cloud Sicherheitstests

Regelmäßiges und effektives Testen von Umgebungen ist der beste Weg, um sich auf die Fähigkeit zur Abwehr von Cyberangriffen verlassen zu können. MAAD-Attack Framework ist ein Open-Source-Tool zur Emulation von Angriffen, das die am häufigsten verwendeten Angreifertechniken kombiniert und es Sicherheitsteams ermöglicht, diese in ihren Umgebungen über ein einfaches interaktives Terminal schnell und effektiv zu emulieren. Besuchen Sie MAAD-AF auf GitHub oder erfahren Sie mehr darüber hier

Sicherheitsteams können das MAAD-AF-Modul "Exploit Cross Tenant Synchronization" verwenden, um die CTS-Ausnutzungstechniken in ihrer Umgebung zu emulieren und zu testen.

Referenzen:

  1. https://learn.microsoft.com/en-us/azure/active-directory/external-identities/cross-tenant-access-overview
  2. https://learn.microsoft.com/en-us/azure/active-directory/multi-tenant-organizations/cross-tenant-synchronization-overview
  3. https://invictus-ir.medium.com/incident-response-in-azure-c3830e7783af
  4. https://attack.mitre.org/techniques/T1484/002

Häufig gestellte Fragen

Was ist der neu entdeckte Angriffsvektor gegen Azure Active Directory?

Der Angriffsvektor nutzt die mandantenübergreifende Synchronisierungsfunktion (CTS) von Microsoft, um eine seitliche Bewegung zu einem anderen Microsoft-Mandanten durchzuführen. Diese Methode missbraucht systemeigene Microsoft-Funktionen zur Synchronisierung von Benutzern und Gruppen über Mandanten hinweg, wodurch Angreifer möglicherweise dauerhaften Zugriff auf verbundene Mandanten erlangen können.

Welche potenziellen Risiken sind mit dem CTS verbunden?

Schlecht konfigurierte CTS können es Angreifern ermöglichen, seitlich von einem kompromittierten Mandanten zu einem anderen Mandanten zu wechseln oder eine betrügerische CTS-Konfiguration einzurichten, um dauerhaften Zugriff zu erhalten. Dies könnte zu einem unbefugten Zugriff auf sensible Daten und Systeme über mehrere Mandanten hinweg führen.

Was ist laterale Bewegung und wie kann sie durch CTS erreicht werden?

Lateral Movement bedeutet, dass ein Angreifer durch kompromittierte Netzwerke oder Systeme navigiert, um Zugang zu zusätzlichen Ressourcen zu erhalten. Über das CTS kann ein Angreifer bestehende Synchronisierungskonfigurationen ausnutzen, um von einem Tenant zu einem anderen verbundenen Tenant zu wechseln und so seinen Zugriff zu erweitern.

Welche Erkennungsmöglichkeiten bietet Vectra für diesen Angriffsvektor?

Die KI-gesteuerten Erkennungen von Vectra, wie z. B. Azure AD Privilege Operation Anomaly, überwachen abnormale Aktivitäten und Szenarien für den Missbrauch von Berechtigungen. Diese Erkennungen konzentrieren sich auf die Verhaltensanalyse, anstatt sich auf Signaturen zu verlassen, und können so neue Techniken wie den CTS-Exploit identifizieren.

Wie können Unternehmen ihre Abwehrmaßnahmen gegen CTS-Missbrauch testen?

Unternehmen können Tools wie das MAAD-Attack Framework verwenden, um CTS-Angriffstechniken zu emulieren und zu testen. Regelmäßige und wirksame Tests tragen dazu bei, sicherzustellen, dass die Abwehrsysteme in der Lage sind, solche Angriffe zu erkennen und zu entschärfen.

Wie funktioniert die Funktion der mandantenübergreifenden Synchronisierung (CTS)?

CTS ermöglicht es Unternehmen, Benutzer und Gruppen aus anderen Quell-Tenants zu synchronisieren und ihnen Zugriff auf Ressourcen im Ziel-Tenant zu gewähren. Dies erleichtert die Zusammenarbeit zwischen verschiedenen Tenants, birgt aber auch potenzielle Sicherheitsrisiken, wenn es nicht richtig verwaltet wird.

Welche Voraussetzungen müssen erfüllt sein, damit ein Angreifer das CTS ausnutzen kann?

Ein Angreifer muss ein privilegiertes Konto in einer Microsoft cloud -Umgebung kompromittieren, z. B. eine Global Admin-Rolle, um Aktionen durchzuführen, die für eine seitliche Bewegung oder einen dauerhaften Zugriff erforderlich sind. Dies geschieht oft unter der Annahme, dass eine ursprüngliche Identität bereits kompromittiert wurde.

Wie kann eine betrügerische CTS-Konfiguration als Hintertür verwendet werden?

Durch die Bereitstellung einer betrügerischen CTS-Konfiguration kann ein Angreifer neue Benutzer von einem vom Gegner kontrollierten Mandanten mit einem Zielmandanten des Opfers synchronisieren. Auf diese Weise kann der Angreifer den zukünftigen Zugriff über die synchronisierten Konten aufrechterhalten und so eine Hintertür in den Ziel-Tenant schaffen.

Welche Erkennungsmöglichkeiten bietet Vectra für diesen Angriffsvektor?

Da dieser Angriffsvektor eher native Funktionen als Schwachstellen ausnutzt, sind herkömmliche Präventionsmethoden weniger wirksam. Kontinuierliche Überwachung und aktive Erkennung tragen dazu bei, verdächtige Aktivitäten frühzeitig zu erkennen, sodass rechtzeitig auf potenzielle Bedrohungen reagiert werden kann.

Was sollten Sicherheitsteams tun, um die mit CTS verbundenen Risiken zu mindern?

Sicherheitsteams sollten für eine ordnungsgemäße Konfiguration und Verwaltung der CTS-Einstellungen sorgen, Synchronisierungsrichtlinien regelmäßig überprüfen und aktualisieren sowie fortschrittliche Plattformen zur Erkennung von und Reaktion auf Bedrohungen nutzen. Die Implementierung der KI-gesteuerten Erkennungsfunktionen von Vectra kann ihre Fähigkeit verbessern, Szenarien des Missbrauchs von Berechtigungen zu erkennen und darauf zu reagieren.

Indem sie die mit CTS verbundenen Risiken verstehen und angehen, können Unternehmen ihre Microsoft cloud -Umgebungen besser vor fortgeschrittenen anhaltenden Bedrohungen und Lateral Movement-Angriffen schützen.