Sempre que parlem de ciberseguretat pensem en els servidors que tenim allotjats a la nostra empresa i ens preocupem sobre la seva exposició a l'exterior i l'impacte que podria tenir el compromís de qualsevol recurs de la nostra xarxa. No obstant això, ja són moltes les empreses que utilitzen serveis al núvol o sistemes híbrids per desplegar la seva infraestructura.
Avui parlem d'Azure, i quins són alguns dels punts d'entrada que exploten alguns atacants per comprometre una organització i també donarem algunes recomanacions bàsiques de seguretat.
Vectors d'entrada cap a Azure AD
Aplicacions Vulnerables + Managed Identities:
Moltes vegades s'utilitza Azure per exposar aplicacions antigues i afegir-hi una capa de seguretat, però una aplicació amb vulnerabilitats no deixa de tenir-les pel sol fet de pujar-la al núvol. En aquest cas, quan es desplega una aplicació a Azure, se li associa una Managed Identity, és a dir, un compte d'Azure que serà utilitzat per l'aplicació i al qual se li assignaran permisos necessaris per accedir a diferents recursos com a bases de dades o Key Vaults dins de lorganització.
En cas que un atacant aconsegueixi explotar una vulnerabilitat de tipus RCE o SSRF a l'aplicació, podria ser capaç d'obtenir l'Access token de la Managed Identity, podent així arribar a impersonar a aquest compte i utilitzar-lo per accedir a l'organització i als seus recursos, sent a més que aquest tipus de comptes en no estar pensats per ser utilitzats per una persona, no compten amb MFA.
Per intentar reduir les possibilitats que aquest vector d'entrada sigui utilitzat, es recomana el següent:
- Analitzar i mitigar vulnerabilitats a les aplicacions exposades.
- Limitar al màxim els permisos de les Managed Identities.
- Monitoritzar les accions de les Managed Identities per detectar qualsevol acció que difereixi del seu ús esperat.
Azure Blobs Exposats:
Els blobs d'Azure són un servei d'emmagatzematge d'objectes per a la plataforma d'Azure. És comú que els usuaris no restringeixin correctament els permisos dels blobs que creen, de manera que aquests poden arribar a ser enumerats mitjançant eines com MicroBurst. D'altra banda, també es pot compartir l'accés a aquests blobs mitjançant enllaços. Quan es comparteixen recursos amb enllaços es pot fer mitjançant Share Keys o Shared Access Signature, sent que ambdues opcions poden permetre que la durada de l'enllaç sigui molt elevada o que fins i tot no caduqui mai, donant així accés a qualsevol atacant que aconsegueixi l'enllaç generat.
A continuació, s'exposen algunes recomanacions per protegir els blobs de l'organització:
- Conscienciar els empleats perquè no emmagatzemin informació sensible en aquests recursos i que administrin correctament els permisos.
- Revisar amb freqüència els blobs públics per assegurar-se que cap no estigui públic.
- Limitar temps de durada denllaços a blobs.
Absència de MFA + Leaks:
Quan parlem de directori actiu on-premise, hi sol haver una capa de seguretat abans de poder accedir a l'organització ja sigui accés físic a la xarxa o mitjançant VPN. És per això que, encara que es produeixin leaks de credencials, els atacants deuen aconseguir també accés a l'organització. Tot i això, els serveis d'Azure estan exposats a internet, de manera que si un atacant aconsegueix comprometre un compte d'Active Directory, podria ser capaç d'accedir al domini d'Azure i enumerar-lo del tot malgrat no tenir accés a la xarxa interna.
Per reduir les possibilitats de ser atacats mitjançant aquest vector es recomana:
-
Investigar de manera contínua informació exposadaa de l'organització per detectar credencials compromeses per poder canviar-les.
- Establir MFA obligatori per a tots els comptes.
- Implementar controls al Conditional Access Policy per restringir l'accés al domini d'Azure només des d'ubicacions permeses.
Phishing:
Els atacs de pesca són una tàctica comuna utilitzada pels atacants per enganyar els usuaris i obtenir les seves credencials. A més, es poden utilitzar tècniques com Ilicit Consent Grant Attack perquè en lloc d'obtenir les credencials de la víctima, l'atacant intenti obtenir un Access Token de l'usuari, el qual podria ser utilitzat per accedir a recursos del domini. Els atacs de pesca (phishing) que utilitzen aquest tipus de tècniques són extremadament perillosos, ja que s'utilitzen sistemes legítims de Microsoft perquè la víctima delegui els seus permisos sobre una aplicació controlada per l'atacant i així obtenir l'Access Token anteriorment esmentat.
Per reduir limpacte es recomana:
- Conscienciar els empleats davant d'aquestes i altres tècniques de phishing perquè aprenguin a reconèixer-les ia evitar-les.
- Limitar el màxim possible els permisos dels usuaris al domini d'Azure.
Persistència mitjançant invitació d'usuaris:
Quan un atacant aconsegueix accés a un actiu, sempre intenta aconseguir persistència en l'objectiu, així podrà continuar enumerant després del compromís inicial. Hi ha diverses tècniques per establir persistència, però la més senzilla és fer servir la funció de convidar usuaris d'Azure, ja que per defecte un compte d'Azure pot convidar usuaris externs. Aquests usuaris no tindran permisos elevats, però podrien enumerar informació del domini.
Com a mitigació es recomana desactivar aquesta funció perquè els usuaris no puguin donar accés de convidat al tenant.
.png)
Fins a la propera linxs, ens veiem al núvol!
.png)
