Ciberseguridad 360 | La incorrecta configuración de la nueva función CTS en Azure AD puede ser explotada para realizar movimientos laterales.

La nueva funci�n de Microsoft Azure Active Directory Cross-Tenant Synchronization (CTS), introducida en junio de 2023, ha creado una nueva superficie de ataque potencial que podr�a permitir a los actores de amenazas propagarse lateralmente con mayor facilidad a otros inquilinos de Azure.

Los inquilinos de Microsoft son organizaciones o suborganizaciones cliente en Azure Active Directory que est�n configuradas con sus propias pol�ticas, usuarios y ajustes.

Sin embargo, dado que las organizaciones grandes pueden dividirse en varios inquilinos con fines organizativos, a veces puede ser m�s f�cil permitir que los usuarios sincronicen entre inquilinos autorizados controlados por la misma entidad.

En junio, Microsoft introdujo una nueva caracter�stica de Sincronizaci�n entre Tenants (CTS) que permite a un administrador sincronizar usuarios y grupos a trav�s de m�ltiples tenants y recursos tenant, ofreciendo una colaboraci�n fluida, automatizando la gesti�n del ciclo de vida de proyectos B2B, etc.

Al configurar CTS, un tenant Azure "origen" se sincronizar� con un tenant "destino", donde los usuarios del origen se pueden sincronizar autom�ticamente con el tenant destino. Al sincronizar usuarios, el usuario s�lo se transfiere desde el origen y no se extrae del destino, por lo que se trata de una sincronizaci�n unilateral.

Sin embargo, si se configura incorrectamente, los atacantes que ya han comprometido un inquilino y obtenido privilegios elevados pueden explotar la nueva caracter�stica para moverse lateralmente a otros inquilinos conectados y luego desplegar configuraciones CTS falsas para establecer la persistencia en esas redes.

Esta superficie de ataque fue descrita anteriormente por Invictus, cuyo informe se centra principalmente en la detecci�n de actores de amenazas que abusan de esta funci�n.

Brechas de configuraci�n de CTS

En un informe publicado ayer, la empresa de ciberseguridad Vectra explica c�mo los actores de amenazas pueden abusar de esta caracter�stica para propagarse lateralmente a los inquilinos vinculados o incluso utilizar esta caracter�stica para la persistencia.

Sin embargo, tambi�n advierten de que para abusar de esta funci�n es necesario que un actor de amenazas primero comprometa una cuenta privilegiada o gane una escalada de privilegios en un entorno de nube de Microsoft violado.

"No hemos observado el uso de esta t�cnica en la naturaleza, pero dado el abuso hist�rico de una funcionalidad similar, presentamos los detalles para que los defensores entiendan c�mo se presentar�a el ataque y c�mo vigilar su ejecuci�n", explican desde Vectra en su informe.

La primera t�cnica descrita en el informe de Vectra consiste en revisar las configuraciones de CTS para identificar a los inquilinos objetivo conectados a trav�s de estas pol�ticas y, en concreto, buscar inquilinos con 'Outbound Sync' activado, que permite la sincronizaci�n con otros inquilinos.

Al encontrar un inquilino que cumpla esos criterios, el atacante localiza la aplicaci�n utilizada para la sincronizaci�n CTS y modifica su configuraci�n para a�adir al usuario comprometido en su �mbito de sincronizaci�n, obteniendo acceso a la red del otro inquilino. Esto permite al actor de la amenaza lograr un movimiento lateral sin necesidad de nuevas credenciales de usuario.

La segunda t�cnica presentada por Vectra consiste en desplegar una configuraci�n CTS falsa para mantener el acceso persistente a los inquilinos objetivo. Una vez m�s, hay que se�alar que este m�todo requiere que un actor de amenazas ya haya comprometido una cuenta privilegiada en el inquilino.

Espec�ficamente, el atacante despliega una nueva pol�tica CTS y habilita "Sincronizaci�n entrante" y "Consentimiento autom�tico de usuario", lo que le permite enviar nuevos usuarios desde su inquilino externo al objetivo en cualquier momento.

Esta configuraci�n garantiza al atacante el acceso al inquilino de destino en cualquier momento a trav�s de la cuenta externa.

Incluso si se eliminan las cuentas fraudulentas, el atacante puede crear e "introducir" nuevos usuarios a voluntad, obteniendo acceso inmediato a los recursos del inquilino de destino, de ah� que Vectra llame a esto una "puerta trasera".

Defenderse de estos ataques

Si bien ning�n ataque conocido ha abusado de esta funci�n, Vectra ha ofrecido orientaci�n sobre c�mo fortalecer su configuraci�n para evitar que se abuse de la funci�n.

Vectra propone que los inquilinos objetivo de CTS deben evitar implementar una configuraci�n de CTA entrante predeterminada o demasiado inclusiva y, si es posible, establecer l�mites sobre qu� usuarios y grupos pueden acceder a sus entornos de nube.

Los inquilinos de origen de CTS que act�an como puntos de infracci�n iniciales deben monitorear a todos los usuarios privilegiados en busca de actividad sospechosa.

El informe de Invictus proporciona informaci�n detallada sobre c�mo se registra la actividad de CTS, lo que permite a los administradores detectar comportamientos maliciosos.

Fuente: bleepingcomputer