przegląd

niedawno badacz Varonis Eric Saraga opublikował post na blogu zapowiadający nowy atak na Azure Active Directory (Azure AD), który może umożliwić atakującemu zalogowanie się jako dowolny zsynchronizowany użytkownik. Metoda ataku wykorzystuje błąd w metodzie weryfikacji hasła PTA (Pass-Through Authentication) umożliwiający użytkownikom korzystanie z lokalnych poświadczeń usługi Active Directory do logowania się do usług Azure i Office 365.

PTA jest jednym z mechanizmów dostępnych dla organizacji, aby umożliwić użytkownikom korzystanie z lokalnych usług Active Directory (znanych również jako usługi katalogowe Active Directory lub „AD DS” i nie mylić z Azure AD, która jest usługą katalogową Microsoft opartą na chmurze-jasne jak błoto?)

PTA po prostu przekazuje nazwę użytkownika i hasło użytkownika i bezpiecznie przesyła je do lokalnego systemu AD DS organizacji w celu weryfikacji. Pozostałe dwie dostępne metody to:

  • Synchronizacja skrótów haseł: ta metoda synchronizuje skróty haseł z reklamy lokalnej do usługi Azure AD (ta metoda nie jest zalecana przez firmę Assura).
  • Federation through Active Directory Federation Services (ADFS): ta metoda opiera się na lokalnej funkcji Microsoft Security Assertion Markup Language (SAML) dostępnej w systemie Microsoft Windows Server.

PTA jest ułatwiany przez Microsoft Azure AD Connect, który ułatwia całą gamę usług, w tym synchronizowanie użytkowników i grup z lokalnej reklamy do platformy Azure AD/Office 365. Oczywiście, z tylko jednym serwerem lokalnym ułatwiającym PTA, oznacza to, że organizacje mają pojedynczy punkt awarii, który, jeśli jest offline, uniemożliwiłby użytkownikom logowanie się do usług Azure i Office 365. Aby rozwiązać ten problem, Microsoft opracował samodzielny agent, który może działać na innym serwerze i utworzyć mechanizm uwierzytelniania wysokiej dostępności dla PTA.

aby było jasne, atak nie wykorzystuje słabości w samym PTA, wykorzystuje słabość w sposobie, w jaki agent robi swoje. Aby jednak było jasne, serwer, na którym działa agent, musi zostać najpierw skompromitowany, aby atak na agenta mógł się udać. W związku z tym atakujący potrzebuje dostępu do sieci lokalnej lub musi zdalnie wykorzystać maszynę lokalną i przekierować się do agenta za pośrednictwem zagrożonego hosta. Atakujący musi również uzyskać uprawnienia administracyjne do serwera hostującego agenta.

gdy atakujący skutecznie naraża serwer, na którym działa agent platformy Azure, manipuluje przepływem uwierzytelniania, podłączając funkcję API LogonUserW. Po pomyślnym podłączeniu hakera do funkcji API może naruszyć hasła zsynchronizowanych użytkowników łączących się z usługą Azure AD/Office 365. Varonis posunął się o krok dalej i zautomatyzował zbieranie danych uwierzytelniających poprzez wstrzyknięcie niestandardowej biblioteki DLL (Dynamic Link Library) do procesu, który nadal będzie uwierzytelniał użytkownika, ale dodatkowo zapisze nazwę użytkownika i hasło danej osoby do określonego pliku tekstowego. Chociaż daje to atakującemu wiele sposobów uwierzytelniania, ale nie zapewnia ” klucza szkieletu.”Aby to osiągnąć, potrzebujemy więcej.

modyfikacja wartości zwracanej w funkcji API, LogonUserW, aby zaakceptować dowolne hasło jako poprawne dla każdego użytkownika, jest kluczem do przekształcenia tego ataku w atak klucza szkieletowego. LogonUserW jest funkcją logiczną, która wymaga populacji tokena użytkownika. Jeśli token zwróci wartość true, uwierzytelnianie zakończy się pomyślnie. Proces, którego Agent platformy Azure używa do uwierzytelniania użytkowników, ma swój własny token, a funkcja API LogonUserW jest wywoływana wewnątrz tego procesu, więc naukowcy z Varonis zadali sobie pytanie: „Dlaczego nie użyć własnego tokena procesu agenta?”I voila, klucz szkieletu usługi Azure AD został utworzony: własny token procesu umożliwi atakującemu zalogowanie się jako użytkownik, w tym Globalne konto administratora.

szczegóły znajdziesz w poście Saraga tutaj: https://blogvaronis2.wpengine.com/azure-skeleton-key/

wskazówka dla naszego kumpla Stevena Rennarda z Varonis za poinformowanie nas o tych badaniach.

chociaż jest to z pewnością atak o dużym wpływie, to z komunikacji Varonisa z Microsoftem wynika, że nie ma w planach łatania tej luki w najbliższym czasie. W związku z tym coraz ważniejsze staje się zapewnienie pełnej ochrony środowiska i użytkowników za pomocą bezpiecznych praktyk konfiguracyjnych i nowoczesnych technologii bezpieczeństwa.

wykrywanie atakującego dostającego się do twojej sieci za pomocą technologii IDS/IPS lub SIEM, ograniczenie zdolności atakującego do eskalacji uprawnień lub obracania się za pomocą narzędzia do wykrywania i reagowania na punkty końcowe oraz zapobieganie atakowi klucza szkieletowego za pomocą technologii uwierzytelniania wieloskładnikowego (MFA) to realne i praktyczne opcje łagodzenia tego zagrożenia.

jeśli korzystasz z usługi Assura Managed Siem, Managed Endpoint Protection lub Managed Multi-Factor Authentication client, aktywnie podejmujemy działania w celu ochrony przed tymi atakami. Jeśli jesteś już klientem Assura, skontaktuj się z wirtualnym ISO lub Assura POC, aby uzyskać dalsze wskazówki.

bądź bezpieczny, bądź zdrowy i jak zawsze możesz przesyłać wszelkie pytania dotyczące tej lub innej kwestii cyberbezpieczeństwa za pośrednictwem naszej strony internetowej lub do [email protected]

zespół Assura

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.