Araştırmacılar, saldırganların hibrit kimlik altyapılarında kimlik doğrulamayı atlatmak için kullanabilecekleri Microsoft Entra ID kimlik ortamlarındaki kimlik doğrulama sürecini manipüle etmenin bir yolunu bulduklarını söylüyorlar.
Saldırı, saldırganın, kullanıcıların şirket içi Microsoft Entra ID (eski adıyla Azure Active Directory) kimlik bilgilerini kullanarak bulut hizmetlerinde oturum açmasına olanak tanıyan bir bileşen olan Pass-Through Authentication (PTA) aracısını barındıran bir sunucuda yönetici erişimine sahip olmasını gerektirecektir. Daha sonra, Cymulate’den araştırmacılar, ayrı bir kimlik doğrulamaya gerek kalmadan farklı şirket içi etki alanlarında bir Entra ID kullanıcısı olarak oturum açmak için bu erişimi kullanabileceklerini söyledi. rapor Bu hafta.
PTA’yı Çifte Ajan’a Dönüştürmek
“Bu güvenlik açığı, PTA aracısını etkili bir şekilde çift taraflı bir aracıya dönüştürüyor ve saldırganların gerçek parolalarını bilmeden herhangi bir senkronize AD kullanıcısı olarak oturum açmalarına olanak tanıyor,” Cymulate güvenlik araştırmacısı Ilan Kalendarov yazdı“Bu, orijinal senkronize AD etki alanına bakılmaksızın, bu tür ayrıcalıklar atanırsa küresel bir yönetici kullanıcısına erişim izni verebilir” ve farklı şirket içi etki alanlarına yatay geçişi etkinleştirebilir.
Microsoft, Dark Reading’in yorum talebine hemen yanıt vermedi. Ancak Cymulate’e göre Microsoft, sorunu çözmek için kendi tarafındaki kodu düzeltmeyi planlıyor. Ancak şirket, saldırı tekniğini yalnızca orta düzeyde bir tehdit olarak tanımladı, İsrail merkezli güvenlik satıcısı böyle söyledi.
Bu ayın başlarında Black Hat USA 2024’te bir güvenlik araştırmacısı Semperis, Entra ID ile ilgili başka bir sorunu daha açıkladı saldırganların bir kuruluşun tüm bulut ortamına erişmesine izin verdi. Saldırganlar giderek daha fazla bulut kimlik hizmetlerine odaklanılıyor Entra ID, Okta ve Ping gibi sağlayıcılardan birinin güvenliğini ihlal ettiklerinde, SaaS uygulamalarındaki kurumsal verilere tam erişime sahip olurlar.
Cymulate’in kavram kanıtı saldırısı, şirketin birden fazla şirket içi etki alanını tek bir Azure kiracısına senkronize ederken Entra ID’deki bir güvenlik açığı olduğunu söylediği şeyden yararlanıyor. Kalendarov, Dark Reading’e yaptığı yorumlarda, bunun kuruluşların farklı departmanlar arasında kullanıcı erişimini kolaylaştırırken veya birden fazla yan kuruluşu olan şirketler için BT yönetimini basitleştirirken sıklıkla kullandığı bir uygulama olduğunu söylüyor. Birden fazla şirket içi etki alanını tek bir Azure kiracısına senkronize etmek, ayrı iş birimleri arasında sorunsuz bir iş birliğini mümkün kılıyor diyor.
İsteklerin Yanlış Yönetilmesi
Cymulate’in keşfettiği şey, bu yapılandırmada PTA aracılarının bazen farklı şirket içi etki alanları için kimlik doğrulama isteklerini yanlış işleyebilmesidir. Şirketin araştırması, bir kullanıcı Entra ID’de oturum açmaya çalıştığında, parola doğrulama isteğinin bir hizmet kuyruğuna konulduğunu ve senkronize edilmiş şirket içi etki alanlarından herhangi birindeki herhangi bir kullanılabilir PTA tarafından alındığını gösterdi.
Cymulate, ara sıra bir PTA aracısının kullanıcı adını ve parolayı farklı bir şirket içi etki alanından alıp kendi Windows Server AD’sine karşı doğrulamaya çalıştığını buldu. Kalendarov, “Bu, sunucunun belirli kullanıcıyı tanımaması nedeniyle kimlik doğrulama hatasıyla sonuçlanıyor,” diyor. “Bu, isteği ilk hangi PTA aracısının aldığına bağlı. Ancak, testlerimiz ve araştırmalarımız kapsamında, bu oldukça yaygın bir durumdu.”
Cymulate’in POC’si bu özel sorunu değerlendirir. Bir saldırganın bunu nasıl kötüye kullanabileceğini kanıtlamak için araştırmacılar önce PTA aracısına yönetilmeyen bir dinamik bağlantı kitaplığı enjekte ettiler. Yüklendikten sonra, yönetilen DLL hem başlangıçta hem de sonda kullanıcı kimlik bilgilerini kontrol etmekten sorumlu ValidateCredential işlevini durdurur. Cymulate, saldırganın bu işlevi durdurarak sonucunu manipüle edebileceğini ve her zaman True döndürmesini zorlayabileceğini buldu. “Bu, farklı bir etki alanından bir kullanıcının kimlik bilgilerini sağlasak bile, kancanın Doğru“,” dedi Cymulate. “Böylece, senkronize edilmiş herhangi bir şirket içi AD’den herhangi bir kullanıcı olarak oturum açabileceğiz.”
Kalendarov, saldırının yalnızca saldırganın önce PTA sunucusunda yerel yönetici erişimi elde etmesi durumunda işe yaradığını söylüyor. “Teoride, önce PTA sunucusuna girip sertifikayı kopyaladığınız, ardından kendi çoğaltılmış sunucunuzu oluşturduğunuz saldırılar vardır. Saldırı o sunucuda da işe yarayacaktır.”
Kalendarov, saldırganın önce yerel yönetici erişimi elde etmesi gerektiğinden Microsoft’un tehdidi orta düzeyde olarak değerlendirmesinin muhtemel olduğunu söylüyor. Ayrıca Microsoft, kuruluşların sunucuyu bir Seviye 0 bileşeni olarak ele almasını önerdi; bu da sıkı erişim yönetimi, gelişmiş izleme ve ağ izolasyonu gibi en üst düzey güvenlik kontrollerini uygulamaları gerektiği anlamına geliyor. Ancak gerçek şu ki çoğu şirket bunu bir Seviye 0 bileşeni olarak ele almıyor, diyor. Microsoft ayrıca kuruluşların tüm senkronize kullanıcılar için iki faktörlü kimlik doğrulama uygulamasını önerdi.
Cymulate, kimlik doğrulama isteklerinin uygun PTA aracısına yönlendirilmesini sağlamak için Microsoft’un etki alanı farkında yönlendirme uygulamasını önerdi. Şirket, “Ek olarak, aynı kiracı içindeki farklı şirket içi etki alanları arasında katı mantıksal ayrım oluşturmak faydalı olabilir” diye belirtti.