BLACK HAT USA – Las Vegas – Miércoles 7 de agosto – Un oscuro problema con el servicio de gestión de acceso e identidad Entra ID de Microsoft podría permitir que un pirata informático acceda a todos los rincones del entorno de nube de una organización.
El ataque primero requiere que el hacker ya tenga acceso a una cuenta de nivel de administrador. Con esto en la mano, las posibilidades son ilimitadas. 4:20 p.m. hora local hoy en Black HatEric Woodruff, arquitecto senior de seguridad en la nube de Semperis, describirá cómo un atacante en esa posición podría aprovechar los mecanismos de autenticación en capas de Entra ID para obtener privilegios de administrador global todopoderosos.
Un atacante con privilegios de administrador global puede realizar cualquier acción en el entorno de nube de una organización en cualquiera de sus servicios conectados, incluido, entre otros, el acceso a datos confidenciales y la implantación de malware. Como explica Woodruff, “es como ser administrador de dominio en la nube. Como administrador global, literalmente puedes hacer de todo: puedes acceder a los correos electrónicos de los usuarios en Microsoft 365, puedes acceder a cualquier aplicación vinculada a Azure, etc. »
Acceso no autorizado a la nube
Entra ID es esencial para cualquier organización que utilice Microsoft 365 y Azure, ya que administra y protege el acceso y los permisos en aplicaciones y servicios en la nube.
Dentro de cada inquilino (organización), Entra ID representa a los usuarios, grupos y aplicaciones como “principales de servicio”, a quienes se les pueden asignar roles y permisos de un tipo u otro.
El problema que Woodruff identificó comienza cuando los usuarios con funciones privilegiadas de Administrador de aplicaciones o Administrador de aplicaciones en la nube pueden asignar credenciales directamente a una entidad de servicio. Un atacante con tales privilegios puede usar esta característica del sistema para actuar efectivamente como su aplicación objetivo cuando interactúa con Entra ID.
A continuación, el atacante puede seguir el flujo de concesión de credenciales del cliente OAuth 2.0, intercambiando credenciales por tokens que conceden acceso a los recursos. Aquí es donde entra en juego el segundo gran problema. Durante su investigación, Woodruff identificó tres principales de servicios de aplicaciones capaces de realizar acciones para las que no parecían tener permiso:
En el servicio de red social empresarial Viva Engage (anteriormente Yammer), la capacidad de eliminar usuarios de forma permanente, incluidos los administradores globales.
En el servicio Microsoft Rights Management, la capacidad de agregar usuarios.
Para el servicio de registro de dispositivos, la capacidad de elevar los privilegios al nivel de administrador global
El Centro de respuesta de seguridad de Microsoft (MSRC) ha asignado a estas vulnerabilidades clasificaciones de gravedad media, baja y alta, respectivamente.
Woodruff señala que el problema con el servicio de registro de dispositivos es mucho mayor que los demás. “Por lo general, se delega funciones administrativas a personas que realizan tareas más cotidianas y mundanas. [in your organization]No tienen el poder para hacerlo. poco importa. Pero si conocen este camino que hemos encontrado, podrían ir y darse este papel”, explica.
Gestión de permisos en la nube
Cuando Woodruff se acercó a Microsoft con sus hallazgos, la compañía le explicó que, de hecho, se le había permitido hacer lo que estaba haciendo a través de mecanismos de autenticación ocultos “entre bastidores”.
Dark Reading contactó a Microsoft para obtener más información sobre cómo funcionan estos mecanismos de autenticación invisibles y en capas y, en primer lugar, por qué existen.
Por ahora, Microsoft ha solucionado el problema con nuevos controles que limitan el uso de credenciales en las entidades de servicio. Ahora, cuando alguien intenta aumentar sus privilegios mediante el servicio de inscripción de dispositivos, Microsoft Graph devuelve un error.
Se desconoce si este problema alguna vez ha sido aprovechado. Para averiguarlo, dice Woodruff, las empresas pueden consultar los registros de auditoría de Entra ID o buscar las ID de atacantes restantes. Sin embargo, ninguno de estos métodos es infalible, ya que los registros tienden a caducar después de un tiempo y los atacantes aún pueden ocultar retroactivamente sus rastros en papel.
“Después de haber trabajado en el ecosistema de Microsoft durante algún tiempo, realicé numerosas evaluaciones de seguridad y descubrí que muchas organizaciones tienen una seguridad relativamente laxa en torno a los administradores de aplicaciones. On le voit dans les nouvelles ces jours-ci : quelqu’un cible le service d’assistance et, avant même de s’en rendre compte, il devient administrateur de domaine, à cause d’une chaîne de privilèges », explique-t -Él.
Este último descubrimiento, aunque forma parte del mismo patrón, supuso un shock. “Fue algo así como: Oh, estos administradores de aplicaciones en muchas organizaciones no están realmente protegidos como deberían”, dice.