São Paulo — InkDesign News — Pesquisadores em segurança cibernética da BeyondTrust alertam para uma vulnerabilidade crítica na plataforma de identidade Entra da Microsoft, resultante de um design que permite a exploração por usuários convidados em ambientes Azure, comprometendo sistemas e dados.
Incidente e vulnerabilidade
O problema identificado envolve usuários convidados que, ao serem adicionados a um inquilino do Azure, podem criar e transferir assinaturas sem a necessidade de permissões administrativas diretas. Este exploit explõe a lógica das permissões de cobrança do Microsoft Azure, onde convidados com determinados papéis de cobrança em seu próprio inquilino podem criar novas assinaturas e transferi-las para outros inquilinos aos quais foram convidados. Esta funcionalidade intencional, que possibilita a criação de assinaturas, oferece “direitos de Proprietário” sobre esses recursos, permitindo abusos significativos. A BeyondTrust também destacou que, apesar de a Microsoft fornecer controles para prevenir essas transferências, eles não estão ativos por padrão.
Impacto e resposta
Uma vez que um usuário convidado se torna Proprietário de uma assinatura em um inquilino Azure, ele desbloqueia capacidades avançadas, como desabilitar monitoramento de segurança, criar portas traseiras persistentes e abusar de políticas de confiança de dispositivos. A falta de controle rigoso entre papéis de cobrança e permissões de recursos, que operam de maneira separada, resulta em possíveis vetores de ataque que muitas equipes de segurança podem negligenciar. A Microsoft confirmou que esta é uma funcionalidade planejada, uma vez que algumas organizações possuem múltiplos inquilinos que requerem esta flexibilidade.
Mitigações recomendadas
Para mitigar os riscos associados a esta vulnerabilidade, a BeyondTrust recomenda a implementação de políticas de assinatura que bloqueiem transferências lideradas por convidados e a auditoria regular de contas de usuários convidados, removendo aquelas que são desnecessárias. Além disso, as equipes de segurança devem monitorar intensamente assinaturas em busca de recursos inesperados criados por convidados e revisar cuidadosamente as regras de grupos dinâmicos e políticas de confiança de dispositivos.
“A funcionalidade criada pela Microsoft aqui faz sentido: algumas organizações têm muitos inquilinos, e existem casos de uso em que usuários com um diretório principal precisam criar assinaturas em outros.
O problema reside no comportamento padrão: se essa capacidade fosse opt-in, significando que convidados fossem bloqueados de criar assinaturas por padrão, o risco seria significativamente reduzido, e isso não representaria um problema de segurança.”
(“The feature Microsoft has created here makes sense: some organizations have many tenants, and there are use cases where users with one home directory need to create subscriptions in others they are simply a guest in. The problem lies in the default behavior: if this capability were opt-in, meaning guests were blocked from creating subscriptions by default, the risk would be significantly reduced, and this wouldn’t pose a security concern.”)— Simon Maxwell-Stewart, Sr Data Engineer – BeyondTrust
A vigilância contínua é crucial, uma vez que os riscos residuais permanecem ativos até que as ações recomendadas sejam implementadas com eficácia. A Microsoft também enfatiza que a segurança é uma responsabilidade compartilhada, e as organizações devem se preparar para lidar com essas complexidades.
Fonte: (Hack Read – Segurança Cibernética)
