Wenn wir über Cybersicherheit sprechen, denken wir an die Server, die wir in unserem Unternehmen gehostet haben, und wir machen uns Sorgen über deren Gefährdung durch die Außenwelt und die Auswirkungen, die die Gefährdung einer Ressource in unserem Netzwerk haben könnte. Allerdings gibt es bereits viele Unternehmen, die Cloud-Dienste oder Hybridsysteme zur Bereitstellung ihrer Infrastruktur nutzen.
Heute werden wir über Azure sprechen und welche Einstiegspunkte einige Angreifer ausnutzen, um ein Unternehmen zu kompromittieren, und wir werden auch einige grundlegende Sicherheitsempfehlungen geben.
Einstiegsvektoren für Azure AD
Anfällige Anwendungen + verwaltete Identitäten:
Azure wird oft verwendet, um alte Anwendungen offenzulegen und eine Sicherheitsebene hinzuzufügen. Eine Anwendung mit Schwachstellen weist diese jedoch immer noch auf, nur weil sie in die Cloud hochgeladen wird. In diesem Fall wird bei der Bereitstellung einer Anwendung in Azure eine verwaltete Identität zugeordnet, d. h. ein Azure-Konto, das von der Anwendung verwendet wird und dem die erforderlichen Berechtigungen für den Zugriff auf verschiedene Ressourcen wie Datenbanken usw. zugewiesen werden Schlüsseltresore innerhalb der Organisation.
Sollte es einem Angreifer gelingen, eine Schwachstelle vom Typ RCE oder SSRF in der Anwendung auszunutzen, könnte er in der Lage sein, das Zugriffstoken der verwalteten Identität zu erhalten und sich so als dieses Konto auszugeben und damit auf die Organisation und ihre Ressourcen zuzugreifen , und da diese Kontotypen nicht für die Nutzung durch eine einzelne Person gedacht sind, verfügen sie nicht über MFA.
Um die Wahrscheinlichkeit zu verringern, dass dieser Eingabevektor verwendet wird, wird Folgendes empfohlen:
- Analysieren und entschärfen Sie Schwachstellen in exponierten Anwendungen.
- Beschränken Sie die Berechtigungen für verwaltete Identitäten so weit wie möglich.
- Überwachen Sie die Aktionen verwalteter Identitäten, um Aktionen zu erkennen, die von der erwarteten Verwendung abweichen.
Offengelegte Azure-Blobs:
Azure-Blobs sind ein Objektspeicherdienst für die Azure-Plattform. Es kommt häufig vor, dass Benutzer die Berechtigungen der von ihnen erstellten Blobs nicht ordnungsgemäß einschränken, sodass diese mithilfe von Tools wie MicroBurst aufgezählt werden können. Andererseits ist es auch möglich, den Zugriff auf diese Blobs über Links zu teilen. Beim Teilen von Ressourcen mit Links kann dies mithilfe von Share Keys oder Shared Access Signature erfolgen. Beide Optionen können dazu führen, dass die Dauer des Links sehr lang ist oder sogar nie abläuft, sodass jeder Angreifer Zugriff erhält, der den generierten Link erhält.
Hier sind einige Empfehlungen zum Schutz der Blobs Ihrer Organisation:
- Informieren Sie Ihre Mitarbeiter darüber, dass sie keine vertraulichen Informationen in diesen Ressourcen speichern und Berechtigungen korrekt verwalten.
- Überprüfen Sie öffentliche Blobs regelmäßig, um sicherzustellen, dass keines öffentlich ist.
- Begrenzen Sie die Dauer von Links zu Blobs.
Fehlen von MFA + Leaks:
Wenn wir über On-Premise Active Directory sprechen, gibt es normalerweise eine Sicherheitsebene, bevor auf das Unternehmen zugegriffen werden kann, sei es über den physischen Zugriff auf das Netzwerk oder über VPN. Aus diesem Grund müssen sich Angreifer auch dann Zugang zum Unternehmen verschaffen, wenn es zu Anmeldedatenlecks kommt. Allerdings sind Azure-Dienste im Internet offengelegt. Wenn es einem Angreifer also gelingt, ein Active Directory-Konto zu kompromittieren, könnte er auf die Azure-Domäne zugreifen und diese vollständig auflisten, obwohl er keinen Zugriff auf das interne Netzwerk hat.
Um die Wahrscheinlichkeit eines Angriffs über diesen Vektor zu verringern, wird Folgendes empfohlen:
-
Untersuchen Sie kontinuierlich offengelegte Informationen der Organisation, um kompromittierte Anmeldeinformationen zu erkennen, damit diese geändert werden können.
- Legen Sie eine obligatorische MFA für alle Konten fest.
- Implementieren Sie Kontrollen in der Richtlinie für bedingten Zugriff, um den Zugriff auf die Azure-Domäne nur von zugelassenen Standorten aus einzuschränken.
Phishing:
Phishing-Angriffe sind eine gängige Taktik von Angreifern, um Benutzer dazu zu verleiten, an ihre Anmeldeinformationen zu gelangen. Darüber hinaus können Techniken wie der „Ilicit Consent Grant Attack“ verwendet werden, sodass der Angreifer, anstatt an die Anmeldeinformationen des Opfers zu gelangen, versucht, ein Zugriffstoken vom Benutzer zu erhalten, das für den Zugriff auf Domänenressourcen verwendet werden könnte. Phishing-Angriffe, die solche Techniken nutzen, sind äußerst gefährlich, da legitime Microsoft-Systeme verwendet werden, damit das Opfer seine Berechtigungen an eine vom Angreifer kontrollierte Anwendung delegiert und so das oben genannte Zugriffstoken erhält.
Um die Auswirkungen zu reduzieren, wird empfohlen:
- Sensibilisieren Sie Ihre Mitarbeiter für diese und andere Phishing-Techniken, damit sie lernen, diese zu erkennen und zu vermeiden.
- Beschränken Sie die Benutzerberechtigungen in der Azure-Domäne so weit wie möglich.
Persistenz durch Benutzereinladung:
Wenn ein Angreifer Zugriff auf ein Asset erhält, versucht er stets, auf dem Ziel Einzug zu halten, sodass er nach der ersten Kompromittierung mit der Listung fortfahren kann. Es gibt verschiedene Techniken, um eine Persistenz einzurichten. Am einfachsten ist es jedoch, die Azure-Funktion zum Einladen von Benutzern zu verwenden, da ein Azure-Konto standardmäßig externe Benutzer einladen kann. Diese Benutzer verfügen nicht über erhöhte Berechtigungen, könnten aber Domäneninformationen auflisten.
Als Abhilfe wird empfohlen, diese Funktion zu deaktivieren, damit Benutzer dem Mandanten keinen Gastzugriff gewähren können.
.png)
Bis zum nächsten Mal Luchse, wir sehen uns in der Wolke!
.png)
