Oversikt

Nylig publiserte Varonis-forsker Eric Saraga Et blogginnlegg som annonserte et nytt angrep mot Azure Active Directory (Azure AD) som kan tillate en angriper å logge på som enhver synkronisert bruker. Angrepsmetoden utnytter en feil i Passordbekreftelsesmetoden For PASS-Through Authentication (Pta) for å tillate brukere å bruke Den lokale Active Directory-legitimasjonen til å logge På Azure og Office 365.

PTA ER en mekanisme tilgjengelig for organisasjoner å tillate brukere å bruke sine lokale Active Directory (Også kjent Som Active Directory Directory Services, ELLER «AD DS» og må ikke forveksles Med Azure AD, Som Er Microsofts skybaserte katalogtjeneste-clear as mud?)

PTA sender bare brukerens brukernavn og passord og overfører det sikkert til organisasjonens lokale AD DS for verifisering. De to andre metodene som er tilgjengelige er:

  • Synkronisering Av Passordhash: Denne metoden synkroniserer passordhashene fra lokal AD til Azure AD (Som en side anbefales Ikke Denne metoden Av Assura).
  • Federation gjennom Active Directory Federation Services (ADFS): denne metoden er avhengig Av Microsofts lokale SECURITY Assertion Markup Language (SAML)-funksjon Tilgjengelig Microsoft Windows Server.

PTA er tilrettelagt Gjennom Microsoft Azure AD Connect som muliggjør en hel rekke tjenester, inkludert synkronisering av brukere og grupper fra on-prem AD Til Azure AD / Office 365. Åpenbart, med bare en on-prem-server som letter PTA, presenterer dette organisasjoner med et enkelt feilpunkt som, hvis det er frakoblet, vil forhindre brukere i Å logge På Azure og Office 365-tjenester. Så, For å løse dette problemet, utviklet Microsoft en frittstående agent som kan kjøre på en annen server og opprette en godkjenningsmekanisme med høy tilgjengelighet for PTA.

for å være klar utnytter angrepet ikke en svakhet i PTA selv, det utnytter en svakhet i måten agenten gjør sine ting på. Men, og for å være klar, serveren som kjører agenten må kompromitteres først for angrepet mot agenten kan lykkes. Derfor trenger en angriper enten lokal nettverkstilgang eller må utnytte en lokal maskin eksternt og pivotere til agenten via den kompromitterte verten. Angriperen må også få administrative rettigheter til serveren som er vert for agenten.

når en angriper har kompromittert en server som kjører Azure agent, manipulerer de godkjenningsflyten ved å koble API-funksjonen LogonUserW. Når angriperen har koblet SEG til API-funksjonen, kan de kompromittere passordene til synkroniserte brukere som kobler Til Azure AD / Office 365. Varonis tok dette et skritt videre og automatisert innsamling av legitimasjon via injisere en tilpasset DLL (Dynamic Link Library) i prosessflyten som fortsatt vil godkjenne brukeren, men i tillegg skriver den enkeltes brukernavn og passord til en bestemt tekstfil. Selv om dette gir angriperen mange måter å autentisere, men det gir ikke » skjelettnøkkelen.»For å oppnå det trenger vi mer.

Endre returverdien I API-funksjonen, LogonUserW, for å godta et passord som riktig for enhver bruker, er nøkkelen til å snu dette angrepet til et skjelettnøkkelangrep. LogonUserW er En Boolsk funksjon som krever populasjonen av brukerens token. Hvis det token returnerer en sann verdi, er godkjenningen vellykket. Prosessen Som Azure-agenten bruker til å godkjenne brukere, har sitt eget token, OG API-funksjonen LogonUserW kalles inne i den prosessen, slik at forskerne ved Varonis spurte seg selv: «Hvorfor ikke bruke agentprosessens eget token?»Og voila, Azure AD-Skjelettnøkkelen ble opprettet: prosessens eget token vil tillate en angriper å logge på som bruker, inkludert En Global Administratorkonto.

de blodige detaljene finner Du I Saragas innlegg her: https://blogvaronis2.wpengine.com/azure-skeleton-key/

Hat tips til vår kompis Steven Rennard På Varonis for å varsle oss til denne forskningen.

Assura’ S Take

selv om dette er absolutt en høy effekt angrep det ser Ut Fra Varonis ‘ kommunikasjon Med Microsoft at Det er ingen planer om å lappe dette sikkerhetsproblemet helst snart. Som sådan blir det enda viktigere å sikre at miljøet og brukerne er grundig beskyttet gjennom sikker konfigurasjonspraksis og moderne sikkerhetsteknologi.

Å Oppdage at en angriper kommer inn i nettverket ditt via EN IDS / IPS-eller SIEM-teknologi, begrense angriperens evne til å eskalere privilegier eller dreie via Et Verktøy For Endepunktsdeteksjon og Respons og forhindre dette skjelettnøkkelangrepet via implementering Av MULTI-Factor Authentication (MFA) – teknologi er alle levedyktige og praktiske alternativer for å redusere denne trusselen.

Hvis Du er En Assura Managed SIEM, Managed Endpoint Protection eller Managed Multi-Factor Authentication-klient, iverksetter vi aktivt tiltak for å beskytte deg mot disse angrepene. Hvis Du er En Eksisterende Assura-kunde, kan du kontakte Din Virtuelle ISO eller Assura POC for videre veiledning.

Hold deg trygg, hold deg frisk, og som alltid gjerne sende inn eventuelle spørsmål du måtte ha om dette eller andre cybersecurity saken gjennom vår nettside eller til [email protected]

Vennlig Hilsen,

Assura-Teamet

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.