Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Una vulnerabilità in Microsoft Azure Active Directory potrebbe consentire l’abuso del Cross-Tenant Synchronization (CTS)

Redazione RHC : 10 Agosto 2023 09:12

È stata scoperta una nuova vulnerabilità nel prodotto Microsoft Azure Active Directory. Stiamo parlando dell’abuso della funzionalità Cross-Tenant Synchronization (CTS) recentemente introdotta, che consente di sincronizzare utenti e gruppi tra più tenant di Azure.

I tenant di Azure sono organizzazioni o divisioni separate all’interno di Azure Active Directory, configurate con i propri criteri, utenti e impostazioni.

CTS consente all’amministratore di configurare la sincronizzazione tra più client per garantire una collaborazione senza soluzione di continuità. In questo caso, gli utenti di un client di origine vengono sincronizzati automaticamente con il client di destinazione.

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Tuttavia, gli esperti avvertono che gli aggressori potrebbero abusare della nuova funzionalità per diffondere malware tra tenant di Azure correlati.

In un recente rapporto, la società di sicurezza informatica Vectra ha spiegato in dettaglio come gli hacker possono utilizzare CTS per spostarsi lateralmente tra i client e persino mantenere un accesso persistente su un dispositivo compromesso.

Il primo metodo, descritto nel rapporto Vectra, prevede il controllo delle configurazioni CTS per determinare i client di destinazione connessi utilizzando queste policy e in particolare la ricerca di client con “Outbound Sync” abilitato, che consente la sincronizzazione con altri client.

Dopo aver trovato un client che soddisfa questi criteri, l’attaccante trova l’applicazione utilizzata per sincronizzare il CTS e ne modifica la configurazione per aggiungere l’utente compromesso all’ambito di sincronizzazione, ottenendo così l’accesso alla rete di un altro client. Ciò consente all’hacker di spostarsi lateralmente senza richiedere l’inserimento di nuove credenziali.

Il secondo metodo segnalato da Vectra prevede l’implementazione di una configurazione CTS personalizzata per mantenere l’accesso continuo ai client di destinazione.

L’utilizzo di questo metodo richiede che il cybercriminale abbia già compromesso un account con privilegi, dopodiché può implementare un nuovo criterio CTS e attivare “Inbound Sync” e “Automatic User Consent”, che consente loro di inviare nuovi utenti dal proprio client esterno in qualsiasi momento. Questa impostazione fornisce a un utente malintenzionato l’accesso al client di destinazione.

Anche se gli account dei truffatori vengono rimossi dal sistema, l’attaccante può comunque creare e spostare nuovi utenti a suo piacimento, ottenendo l’accesso immediato alle risorse del cliente target, motivo per cui i ricercatori hanno soprannominato questo metodo un attacco backdoor.

Sebbene finora nessun attacco noto abbia abusato della nuova funzionalità di Active Directory, Vectra ha offerto raccomandazioni per rafforzare la configurazione per prevenire potenziali abusi.

La società suggerisce che i tenant CTS target dovrebbero evitare di implementare una configurazione standard o eccessivamente inclusiva di accesso cross-tenant (CTA) in entrata e, se possibile, porre limiti su cui utenti e gruppi possono accedere ai propri ambienti cloud.

Nel frattempo, i client CTS originali che fungono da punti di partenza per una violazione devono monitorare tutti gli utenti privilegiati per attività sospette.

Un rapporto di un’altra società di sicurezza informatica, Invictus, pubblicato nel febbraio di quest’anno, fornisce anche dettagli su come vengono registrate le attività CTS, consentendo agli amministratori di comprendere meglio come rilevare e bloccare comportamenti dannosi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.