Microsoft Azure Active Directory Cross-Tenant Synchronization (CTS) özelliği, yeni bir potansiyel saldırı yüzeyi oluşturdu ve saldırganların diğer Azure tenantlara daha kolay bir şekilde yanal hareket etmelerine olanak tanıyabiliyor
Microsoft, Haziran ayında, birden fazla tenant ve tenan kaynağı üzerinde kullanıcıları ve grupları senkronize etmeyi mümkün kılan yeni bir Cross-Tenant Synchronization (CTS) özelliği tanıttı. Bu özellik, sorunsuz işbirliği sağlama, B2B projelerinin yaşam döngüsü yönetimini otomatikleştirme vb. sağlar.
CTS yapılandırılırken bir Azure ‘kaynak’ tenan, kaynaktan gelen kullanıcıların otomatik olarak hedef tenana senkronize edilebileceği bir ‘hedef’ tenana senkronize edilir. Kullanıcılar senkronize edildiğinde, kullanıcı yalnızca kaynaktan hedefe doğru iletilir ve hedeften çekilmez, bu da tek yönlü bir senkronizasyon yapar.
Ancak yanlış yapılandırılırsa, zaten bir tenan kompromize eden ve yükseltilmiş yetkiler elde eden saldırganlar, yeni özelliği diğer bağlı tenana yanal hareket etmek ve ardından bu ağlarda kalıcılık sağlamak için kötüye kullanabilirler.
CTS Yapılandırma Boşlukları
Dün yayımlanan bir raporda, siber güvenlik firması Vectra, saldırganların bu özelliği yan yana hareket etmek için veya hatta bu özelliği kalıcılık için nasıl kötüye kullanabileceklerini ayrıntılı olarak açıkladı.
Vectra, “Bu tekniğin sahada kullanıldığına dair herhangi bir gözlemimiz olmadı, ancak benzer işlevlerin tarihsel kötüye kullanımını göz önünde bulundurarak, saldırya karşı nasıl önlem alınacağının ayrıntıları sunuyoruz” şeklinde raporlarında açıkladılar.
Vectra’nın raporunda tanımlanan ilk teknik, CTS yapılandırmalarını gözden geçirerek bu politikalar aracılığıyla bağlı tenantları belirlemek ve özellikle diğer tenantlara senkronizasyon izni veren ‘Outbound Senkronizasyon’ özelliğine sahip tenantları aramaktır.
Saldırgan bu kriterleri karşılayan bir tenan bulduğunda, CTS senkronizasyonu için kullanılan uygulamayı bulur ve yapılandırmasını değiştirerek kompromize edilmiş kullanıcıyı senkronizasyon kapsamına ekler ve diğer tenantın ağına erişim elde eder. Bu saldırganın yeni kullanıcı kimlik bilgilerine ihtiyaç duymadan yanal hareket etme olanağı sağlar.
Vectra tarafından sunulan ikinci teknik, hedef tenanlara kalıcı erişim sağlamak için sahte bir CTS yapılandırması dağıtmayı içeriyor. Bu yöntemin de, tenantda zaten ayrıcalıklı bir hesabı kompromize etmesi gerektiğinin altı çizilmelidir.
Saldırgan özellikle yeni bir CTS politikası dağıtarak ‘Gelen Senkronizasyon’ ve ‘Otomatik Kullanıcı Onayı’ özelliklerini etkinleştirir ve bu sayede external tenantdan hedefe yeni kullanıcılar itebilir.
Bu yapılandırma, saldırgana external hesap aracılığıyla her an hedef tenant erişim sağlar.
Sahte hesaplar kaldırılsa bile saldırgan, istediği zaman yeni kullanıcılar oluşturabilir böylece hedef tenantnın kaynaklarına hemen erişim elde edebilir. Bu nedenle Vectra bunu bir “arka kapı” olarak nitelendiriyor.
Saldırılara Karşı Savunma
Henüz bilinen bir saldırı olmasa da, yapılandırmalarda yapılacak sıkılaştırmalar büyük önem taşıyor.
