Microsoft 于 2023 年 <> 月推出的一项名为 Azure AD 跨租户同步 (CTS) 的新功能创建了一个新的潜在攻击面,可能允许威胁参与者更轻松地横向传播到其他 Azure 租户。
Azure AD CTS 是一项功能,允许组织跨多个 Azure Active Directory 租户同步用户标识和组。这对于合并和收购、跨租户协作或多租户应用程序等方案非常有用。
Azure AD CTS 的工作原理是在两个或多个 Azure AD 租户之间创建信任关系,然后使用Microsoft图形 API 同步选定的用户标识和组。同步的标识称为影子主体,它们与源租户中的原始主体具有相同的属性和权限。
在最近的一篇博客文章中,Vectra AI研究人员强调了一种新的攻击媒介,攻击者可以使用CTS利用这种攻击媒介。攻击的工作原理是首先在攻击者的租户中创建新的用户帐户。然后,使用 CTS 向此用户帐户授予对目标租户的访问权限。将用户帐户同步到目标租户后,攻击者可以使用该帐户访问目标租户中的资源。
如何避免 Azure AD 跨租户同步攻击
- 查看您的 CTS 配置。请确保仅同步需要访问目标租户中的资源的用户和组。
- 监视 Azure AD 日志。查找可疑活动,例如创建新用户或向未经授权的用户授予对资源的访问权限。
- 使用多重身份验证 (MFA)。MFA 为 Azure AD 帐户增加了一层额外的安全保护,使攻击者更难获得未经授权的访问。
该攻击尤其令人担忧,因为它可用于获取对目标租户中资源的访问权限,即使攻击者的帐户稍后从目标租户中删除也是如此。这是因为用户帐户仍将同步到目标租户,攻击者可以继续使用它来访问资源。
为了降低此攻击的风险,组织应仔细考虑是否需要使用 CTS。如果他们决定使用 CTS,则应仔细配置该功能,以最大程度地降低未经授权的访问风险。此外,组织应监视其 Azure Active Directory 日志,以查找可疑活动的迹象。
Microsoft的Azure Active Directory(AD)是一种基于云的身份和访问管理服务,可为数百万用户和设备提供安全的身份验证和授权。许多组织使用 Azure AD 来管理其云资源,例如 Office 365、Azure 和 Microsoft 365。