Компания по кибербезопасности Varonis обнаружила, что злоумышленник может использовать находящуюся под угрозой локальную ИТ-среду, чтобы раскрутить и атаковать среду Azure организации.
Использование взломанного компьютера в качестве отправной точки для навигации по сети с целью достижения других целей – это тактика, часто используемая киберпреступниками и исследователем безопасности в Варонисе. Эрик Сарага обнаружил, что можно управлять локальным сервером, известным как прокси-сервер Azure, для создания задней двери и получения учетных данных пользователя от Облако
Сарага разработал атаку с доказательством атаки, которая использует прохожих аутентификации Azure для установки прокси-сервера Azure с локальной аутентификацией одновременных пользователей из облака. Это позволило ему создать форму пароля Skeleton Key на прокси Azure.
С помощью этого ключа-скелета злоумышленник может повысить привилегии глобального администратора, чтобы получить доступ к внутренней среде предприятия. Это позволит злоумышленнику извлечь имена пользователей и пароли из среды Azure компании.
Ключевая структура
К счастью, использование Saraga может быть запрещено с помощью многофакторной аутентификации для защиты учетных записей Azure для компании, а также путем активного мониторинга прокси-серверов Azure.
Эта атака также будет затруднена для киберпреступников, поскольку им сначала необходимо проникнуть в корпоративную сеть.
Еще одним примечательным моментом является тот факт, что это эксплойт, а не уязвимость безопасности, поэтому Microsoft не выпустит патч для его исправления. Гигант программного обеспечения ответил на отчет Faroneese, говоря:
«Похоже, что этот отчет не идентифицирует уязвимость в продукте или услуге Microsoft, которая позволила бы злоумышленнику поставить под угрозу безопасность, доступность или конфиденциальность предложения Microsoft. Для этой проблемы злоумышленнику необходимо сначала взломать устройство, прежде чем он сможет захватить службу».
Поскольку патч не разрабатывается, Сарага говорит, что организации должны закрыть свои среды Azure, используя многофакторную аутентификацию, чтобы не стать жертвой любых потенциальных атак, которые усиливают эту эксплуатацию.
Через The Daily Swig
Add comment