进攻安全专家提供有关如何硬化云安全性配置文件的建议
分析SynackTiv的安全研究人员透露,攻击者可以利用由Azure Active Directory和Windows Active Directory服务器组成的混合网络中的错误配置,以妥协同步服务器,揭示用户密码并在公司网络中创建后门。
这项工作是关于Azure Active Directory Security进行的几项类似研究事业之一,它强调了安全团队需要学习这项快速发展技术的复杂性。
Azure AD和Windows AD之间的混淆
Azure Active Directory(Azure AD)是Microsoft基于云的身份和访问管理服务。
该技术使组织的员工可以在Microsoft Office 365,Azure Portal和SaaS应用程序等服务中登录和访问资源,以及内部资源和其他基于云的应用程序。
但是,Azure AD和Windows AD之间存在一些混乱,这是用于集中式域管理的可能已知的目录服务。
Synacktiv的安全研究人员AymericPalhière告诉说:“很普遍,Azure广告只是[Windows]广告。”每日swbeplay2018官网ig。
“两者都有很多相似之处,但也有很多差异。他们不使用相同的协议,广告组被Azure AD中的角色取代,与两个环境的互动没有使用相同的工具等。”
Palhière的攻击Azure AD首先利用一个弱密码的帐户。这可能会发生很多事情,尤其是对于用来在其强化公司网络中管理其用户帐户并且对执行安全密码策略不太敏感的组织。
Fox-IT的安全研究人员Dirk-Jan Mollema告诉说:“在Azure AD身份中比在本地广告中重要得多。”每日swbeplay2018官网ig。
“不幸的是,总体趋势仍然是,许多公司依靠内部防火墙来防止攻击者,一旦您进入攻击者,就就像一家为攻击者提供的糖果商店。
“弱密码仍然是一个大问题,尤其是在安全意识较低的领域。如果您将其移至Azure AD,那么突然所有这些帐户都不再落后防火墙,而是从互联网上的任何地方暴露出来。”
提取信息
在网络中获得立足点后,攻击者可以使用各种PowerShell工具来提取有关目标Azure AD租户的信息。
狡猾的黑客将能够访问Azure AD Connect,该服务将Azure AD与Windows AD服务器同步,并利用其功能为解密用户密码和妥协管理员帐户。
Palhière还表明,攻击者可以通过将凭据分配给服务原理并使用它们登录到系统不显眼来创建Azure AD中的后门。
Palhière说:“文章的重点是Azure AD和Windows AD之间的同步引起的弱点。”“确实,它已成为一种非常常见的配置,这对于攻击者来说非常有趣,因为两个环境都包含敏感信息(邮箱,议程,数据库,敏感文件……)。”
The researcher noted that this kind of attack doesn’t only apply to hybrid structures: “A company using Azure AD and Office 365 only (without Windows AD) will manage cloud identities for its employees, and finding a valid account will allow the attacker to access mailboxes and documents.
“但是,攻击者将无法使用此帐户来访问公司的内部资产。”
“ Azure AD提供了一些创建访问策略的工具,您可以通过这些工具来确保环境和配置谁可以访问哪些条件下的情况,但现实是,还没有很多公司在使用它们。” Mollema说,并补充说,高级安全工具需要高级许可证,这是公司提高安全性的另一个障碍。
COVID-19锁定引起了进一步的安全问题
随着世界适应冠状病毒大流行,许多组织面临着建立基础设施的挑战,该基础设施使他们的员工可以在家中远程工作。
对于已经使用本地Windows Active Directory的公司,Azure AD提供了一种灵活且易于访问的解决方案。但是,如果匆忙而没有仔细计划,采取行动就可以使组织面临新的威胁。
“显然,将组织的整个身份管理平台迁移到短时间内,这意味着可能发生配置错误,”Palhière说。
“由于该组件对企业的安全至关重要,因此将其移至云中,在云中,任何人都可以从互联网上访问,因此必然会暴露公司。”
Mollema还强调了在短期和计划外的过渡期间进行人类监督和错误的可能性。例如,如果公司决定由于时间限制而将整个本地目录与Azure AD同步,则可能会暴露出密码较弱的帐户。
Mollema补充说:“如果您迅速移动,那么您还没有实施监视策略来检测这些妥协的方式,例如您的端点安全性。”
如何硬化Azure广告的安全性
Palhière说:“通常,启用Azure AD安全选项越多,整体安全级别的越好。”
“两者的总和肯定会阻止绝大多数攻击。Azure AD角色及其相关权限的精确定义也是一个加号。”
对于购买了高级Azure AD配置的组织,Mollema建议制定有条件的访问政策。
他补充说:“配置一些用于紧急情况的强大随机生成密码的突破性玻璃帐户,并为所有其他帐户(尤其是具有管理员角色的帐户)实施严格的策略。”“如果您做正确的事,那将覆盖对Azure AD的90%的攻击。”
Mollema还警告说,Azure AD非常允许其允许常规用户创建的内容。默认情况下,常规用户可以邀请外部用户,创建组,创建应用程序,并同意访问公司数据的第三方应用程序。
他说:“这是您要限制的事情,以维持对环境的更严格的控制。”“与本地广告一样,将最小私人的原则应用于管理角色,只提供人们需要的访问权限。”
