Overview

onlangs publiceerde Varonis-onderzoeker Eric Saraga een blogbericht waarin een nieuwe attack against Azure Active Directory (Azure AD) werd aangekondigd, waardoor een aanvaller zich kan aanmelden als elke gesynchroniseerde gebruiker. De aanval methode maakt gebruik van een fout in de Pass-Through authenticatie (PTA) wachtwoord verificatie methode van het toestaan van gebruikers om hun on-premises Active Directory referenties te gebruiken om in te loggen op Azure en Office 365.

PTA is een mechanisme beschikbaar voor organisaties om gebruikers in staat te stellen hun on-premises Active Directory (ook bekend als Active Directory Directory Services, of “AD DS” en niet te verwarren met Azure AD, dat is Microsoft ‘ s cloud-based directory service – clear as mud?)

PTA geeft eenvoudig de gebruikersnaam en het wachtwoord van de gebruiker door en verzendt deze veilig naar de lokale AD DS van de organisatie voor verificatie. De andere twee beschikbare methoden zijn::

  • wachtwoord Hash synchronisatie: deze methode synchroniseert de wachtwoord hashes van on-premises AD in Azure AD (als een terzijde, deze methode wordt niet aanbevolen door Assura).
  • Federation via Active Directory Federation Services (ADFS): deze methode is gebaseerd op Microsoft ‘ s on-premises Security Assertion Markup Language (SAML) – functie beschikbaar Microsoft Windows Server.

PTA wordt gefaciliteerd door Microsoft Azure AD Connect dat een hele reeks services mogelijk maakt, waaronder het synchroniseren van gebruikers en groepen van on-prem AD naar Azure AD/Office 365. Uiteraard, met slechts één on-prem server faciliteren PTA, dit presenteert organisaties met een enkel punt van storing die, indien offline, zou voorkomen dat gebruikers in te loggen op Azure en Office 365 diensten. Dus, om dit probleem aan te pakken, Microsoft ontwikkelde een standalone agent die kan draaien op een andere server en maak een high availability authentication mechanisme voor PTA.

om duidelijk te zijn, de aanval exploiteert geen zwakte in PTA zelf, het exploiteert een zwakte in de manier waarop de agent zijn ding doet. Echter, en om duidelijk te zijn, moet de server die de agent draait eerst gecompromitteerd zijn voor de aanval tegen de agent kan slagen. Daarom heeft een aanvaller lokale netwerktoegang nodig of moet hij een lokale machine op afstand exploiteren en via de gecompromitteerde host naar de agent draaien. De aanvaller moet ook beheerdersrechten krijgen voor de server die de agent host.

nadat een aanvaller een server waarop de Azure agent draait succesvol heeft gecompromitteerd, manipuleren ze de authenticatiestroom door de API-functie LogonUserW aan te sluiten. Nadat de aanvaller met succes hooks in de API-functie, ze kunnen de wachtwoorden van gesynchroniseerde gebruikers verbinding met Azure AD/Office 365 in gevaar brengen. Varonis nam dit een stap verder en geautomatiseerd het verzamelen van referenties via het injecteren van een aangepaste DLL (Dynamic Link Library) in de processtroom die nog steeds de gebruiker zal authenticeren, maar bovendien, schrijft de persoon gebruikersnaam en wachtwoord naar een opgegeven tekstbestand. Hoewel dit geeft de aanvaller tal van manieren om te authenticeren, maar het biedt niet de ” skeleton key.”Om dat te bereiken hebben we meer nodig.

het wijzigen van de return waarde in de API functie, LogonUserW, om elk wachtwoord als correct te accepteren voor elke gebruiker is de sleutel om deze aanval om te zetten in een skeleton key aanval. LogonUserW is een Booleaanse functie die de populatie van het token van de gebruiker vereist. Als dat token een ware waarde retourneert, is de verificatie succesvol. Het proces dat de Azure agent gebruikt om gebruikers te authenticeren heeft zijn eigen token en de API-functie LogonUserW wordt genoemd binnenkant van dat proces, zodat de onderzoekers van Varonis vroeg zich af, ” waarom niet gebruik maken van de agent proces eigen token?”En voila, de Azure AD Skeleton Key werd gemaakt: het proces eigen token zal een aanvaller in te loggen als een gebruiker, met inbegrip van een globale Administrator account.

de Gore details zijn te vinden in Saraga ‘ s post hier: https://blogvaronis2.wpengine.com/azure-skeleton-key/

tip aan onze vriend Steven Rennard van Varonis voor het waarschuwen van ons voor dit onderzoek.

Assura ‘ s Take

hoewel dit zeker een high impact aanval is, blijkt uit de communicatie van Varonis met Microsoft dat er geen plannen zijn om deze kwetsbaarheid snel te patchen. Daarom wordt het des te belangrijker om ervoor te zorgen dat uw omgeving en gebruikers grondig worden beschermd door middel van veilige configuratiepraktijken en moderne beveiligingstechnologieën.

het detecteren van een aanvaller die in uw netwerk komt via een IDS/IPS-of Siem-technologie, het beperken van het vermogen van de aanvaller om privileges te escaleren of te draaien via een endpoint Detection and Response-tool en het voorkomen van deze skeleton key-aanval via de implementatie van Multi-Factor Authentication (MFA) – technologie zijn allemaal haalbare en praktische opties om deze bedreiging te beperken.

Als u een Assura Managed Siem, Managed Endpoint Protection of Managed Multi-Factor Authentication client bent, dan nemen we actief maatregelen om u tegen deze aanvallen te beschermen. Als u een bestaande Assura-klant bent, neem dan contact op met uw virtuele ISO of Assura POC voor verdere begeleiding.

blijf veilig en gezond, en zoals altijd voel je vrij om vragen te stellen die je hebt over deze of andere cybersecurity kwestie via onze website of aan [email protected]

oprecht,

het Assura-Team

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.