Azure AD’deki (AAD) konuk hesapları, harici üçüncü taraflar için kurumsal kaynaklara sınırlı erişim sağlamayı amaçlamaktadır – fikir, çok fazla maruz kalma riski olmadan işbirliğini sağlamaktır. Ancak kuruluşlar, hassas kaynaklara ve uygulamalara erişimi farkında olmadan Azure AD’deki konuklarla paylaşarak veri hırsızlığının ve daha fazlasının yolunu açıyor olabilir.
Yaklaşan bir sunum Siyah Şapka ABD Ağustos’ta, Microsoft’un düşük kodlu geliştirme platformunda kolayca manipüle edilen varsayılan konuk hesabı ayarlarının ve karışık bağlantıların zehirli bir kombinasyonunun nasıl olduğunu ayrıntılarıyla anlatacağız. Power Apps olarak bilinen misafir hesaplarına kurumsal mücevherlere geniş erişim sağlamak için kapıyı tekmeleyebilir. Power Apps, işletmelerin çeşitli çevrimiçi ve şirket içi veri kaynaklarını (SharePoint, Microsoft 365, Dynamics 365, SQL Server vb.) birbirine bağlayan özel uygulamalar oluşturması için hızlı bir geliştirme ortamı sağlar.
Zenity CTO’su araştırmacı Michael Bargury bulgularını 10 Ağustos Perşembe günü “Tek İhtiyacın Olan MisafirOturum yazısında, konukların kurumsal SQL sunucularına, SharePoint sitelerine, KeyVault sırlarına ve daha fazlasına erişmek için belgelenmemiş API’leri kullanabileceğini; ayrıca kuruluş içinde yatay olarak hareket etmek için dahili iş uygulamaları oluşturup kontrol edebileceklerini belirtti.
“Bir organizasyonu savunan mavi takımın bakış açısından, konukları davet etmenin düşündüklerinden çok daha fazla risk taşıdığını göstermeyi umuyorum” diyor. “Bu, konukların yalnızca dizininizi veya buna benzer bir şeyi anlamakla kalmayıp verilere gerçekten erişebildiklerini gösteren, bildiğim ilk araştırma.”
Kötü Amaçlı Azure AD Erişimine Giden İki Adımlı Yol
Bargury, potansiyel maruziyetin iki aşamalı bir süreçle elde edilebileceğini söylüyor. Black Hat USA’daki gösterisinin ilk bölümü, varsayılan ayarlarla – temelde hiçbir uygulamaya erişimi göstermeyen – ve deneme lisansları oluşturmayı ve bunları iptal etmeyi içeren birkaç ucuz manipülasyon kullanarak bir konuk hesabı almanın ne kadar kolay olduğunu gösterecek. , bir konuk kullanıcıya söz konusu AAD kiracısında bulunan Power Apps için varsayılan ortama ilişkin görünürlük sağlar.
Bu görünürlük sağlandıktan sonra konuk kullanıcılar, Power Apps’te oluşturulan ve geliştiriciler tarafından “herkesle paylaşılan” olarak işaretlenen tüm uygulama bağlantılarını görebilecek.
Bargury, “Gösterdiğim sorunun temel nedeni, birinin Microsoft’un ‘herkesle paylaş’ dediği bir şeyi kullanarak bir uygulama oluşturduğu veya paylaştığı zaman ortaya çıkıyor” diyor. “Ve herkesle paylaştığınızda, bunun kuruluşunuzdaki herkesle paylaşıldığını düşünebilirsiniz, ancak esasen AAD kiracınızdaki misafirler de dahil olmak üzere herkes anlamına gelir.”
Buna karşılık, bu uygulamalar arka planda hassas olabilecek verilere bağlanır.
“Bunlar Azure AD’deki kaynaklardır. Şirket içinde olabilirler veya kuruluş genelinde fazla paylaşılan kişilerin kendi kişisel hesapları olabilirler” diyor.
Varsayılan olarak, bir konuk hesabının bu bağlantıları görebilmesi, Microsoft’un Power Platform DLP denetimleri gibi korumalar yoluyla oluşturduğu sınırlamalar sayesinde, bunları verilere ulaşmak için kullanabilecekleri anlamına gelmez. Ancak Bargury, saldırı sürecinin ikinci adımı olarak bu korumaları nasıl aşabileceğini gösterecek.
“İçeri girdikten ve fazla paylaşılan şeyleri görebildiğinizde, bunları kullanabilmeniz gerekir” diyor. “Başkaları tarafından yapılmış ve temel olarak mevcut kullanıcı kimlik doğrulaması ile dahili Microsoft API’lerine ulaşmamı sağlayan araştırmayı kullanıyorum. Bu bağlantıların her birini inceleyebilmemin ve verileri arkalarına atabilmemin nedeni şu: Power Platform için ön uç API’lerini ayırabildim ve arkalarındaki altyapıyı anlayabildim. Ve aslında ön uç API’ler açısından doğrudan altyapıya ulaşıyorum, bu da yapabileceğim anlamına geliyor a) savunmaları atlatmak ve b) günlük bırakmamak.”
Karşılıklı Aşırı Paylaşımdan Siber Riski Sınırlandırma
Bargury, konuşmasının bu sorunun ne kadar ciddi olduğu konusunda alarm vereceğini ve ayrıca izleyicilere bu teşhirin ortaya çıkardığı riskle başa çıkma araçları sağlayacağını söylüyor. Ayrıca izleyicilere AAD ortamlarında konuk erişiminin kapsamını sınırlamak için değiştirebilecekleri yapılandırmaları gösterecek ve konuk hesaplarında bu toksik aşırı paylaşıma yol açabilecek manipülasyonların nasıl tespit edileceği hakkında konuşacak.
“Burada yaptığım en önemli şeylerden biri, bu dahili API’lere kimlik doğrulama belirteçleri elde etmek için araştırma kullanmaktır” diyor. “Ve bu, AAD’yi günlüğe kaydetmesi için yapılandırabileceğiniz bir olaydır. Kullanıcının, özellikle de konuk kullanıcının, ifşa edilmemesi gereken bir dahili Microsoft API’sine bir kimlik doğrulama belirteci sağladığını fark ederseniz, bu bir tehlike işareti olmalıdır. “
Konuşmanın bir parçası olarak Bargury, hem mavi hem de kırmızı ekip üyelerinin bir AAD kiracısı içindeki konuk erişiminin gerçek kapsamını anlamalarına yardımcı olacak keşif amaçlı bir denetim aracı olan PowerGuest adlı yeni bir aracı kullanıma sunacak.
Odaklanacağı diğer önemli nokta, savunucuların Power Apps aracılığıyla AAD ortamlarında açılan bağlantıları ve kimlik bilgilerini gerçekten daha iyi anlamaya başlaması gerektiğidir.
“Düşük kodlu platformlar üzerine bir şeyler inşa ediyorsanız, kimlik bilgilerini ve kimlikleri farklı kullanıcılar arasında paylaşmanın sizin için çok kolay olduğunu anlamanız gerekir. Bir uygulama oluşturduğunuzda ve onu diğer insanlarla paylaştığınızda, o zaman onlar Bu kavramı bu yılın başlarında RSA Konferansı’nda sunulan farklı bir araştırma parçasında ele alan Bargury, temeldeki bağlantıya, temeldeki veri kaynağına erişim sağlamak” diyor.