Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 10 Agosto 2023 09:12
È stata scoperta una nuova vulnerabilità nel prodotto Microsoft Azure Active Directory. Stiamo parlando dell’abuso della funzionalità Cross-Tenant Synchronization (CTS) recentemente introdotta, che consente di sincronizzare utenti e gruppi tra più tenant di Azure.
I tenant di Azure sono organizzazioni o divisioni separate all’interno di Azure Active Directory, configurate con i propri criteri, utenti e impostazioni.
CTS consente all’amministratore di configurare la sincronizzazione tra più client per garantire una collaborazione senza soluzione di continuità. In questo caso, gli utenti di un client di origine vengono sincronizzati automaticamente con il client di destinazione.
La NIS2 è complessa da capire?
Non perdere tempo, segui l'anteprima gratuita del corso che stiamo preparando.Accedi quindi alla nostra Academy e segui l'anteprima del corso della durata di 30 minuti per comprendere i contenuti esclusivi che tratteremo nel corso.per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Tuttavia, gli esperti avvertono che gli aggressori potrebbero abusare della nuova funzionalità per diffondere malware tra tenant di Azure correlati.
In un recente rapporto, la società di sicurezza informatica Vectra ha spiegato in dettaglio come gli hacker possono utilizzare CTS per spostarsi lateralmente tra i client e persino mantenere un accesso persistente su un dispositivo compromesso.
Il primo metodo, descritto nel rapporto Vectra, prevede il controllo delle configurazioni CTS per determinare i client di destinazione connessi utilizzando queste policy e in particolare la ricerca di client con “Outbound Sync” abilitato, che consente la sincronizzazione con altri client.
Dopo aver trovato un client che soddisfa questi criteri, l’attaccante trova l’applicazione utilizzata per sincronizzare il CTS e ne modifica la configurazione per aggiungere l’utente compromesso all’ambito di sincronizzazione, ottenendo così l’accesso alla rete di un altro client. Ciò consente all’hacker di spostarsi lateralmente senza richiedere l’inserimento di nuove credenziali.
Il secondo metodo segnalato da Vectra prevede l’implementazione di una configurazione CTS personalizzata per mantenere l’accesso continuo ai client di destinazione.
L’utilizzo di questo metodo richiede che il cybercriminale abbia già compromesso un account con privilegi, dopodiché può implementare un nuovo criterio CTS e attivare “Inbound Sync” e “Automatic User Consent”, che consente loro di inviare nuovi utenti dal proprio client esterno in qualsiasi momento. Questa impostazione fornisce a un utente malintenzionato l’accesso al client di destinazione.
Anche se gli account dei truffatori vengono rimossi dal sistema, l’attaccante può comunque creare e spostare nuovi utenti a suo piacimento, ottenendo l’accesso immediato alle risorse del cliente target, motivo per cui i ricercatori hanno soprannominato questo metodo un attacco backdoor.
Sebbene finora nessun attacco noto abbia abusato della nuova funzionalità di Active Directory, Vectra ha offerto raccomandazioni per rafforzare la configurazione per prevenire potenziali abusi.
La società suggerisce che i tenant CTS target dovrebbero evitare di implementare una configurazione standard o eccessivamente inclusiva di accesso cross-tenant (CTA) in entrata e, se possibile, porre limiti su cui utenti e gruppi possono accedere ai propri ambienti cloud.
Nel frattempo, i client CTS originali che fungono da punti di partenza per una violazione devono monitorare tutti gli utenti privilegiati per attività sospette.
Un rapporto di un’altra società di sicurezza informatica, Invictus, pubblicato nel febbraio di quest’anno, fornisce anche dettagli su come vengono registrate le attività CTS, consentendo agli amministratori di comprendere meglio come rilevare e bloccare comportamenti dannosi.
Redazione
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009