As contas de convidado no Azure AD (AAD) destinam-se a fornecer acesso limitado a recursos corporativos para terceiros externos — a ideia é permitir a colaboração sem arriscar muita exposição. Mas as empresas podem estar, sem saber, compartilhando demais o acesso a recursos e aplicativos confidenciais com convidados no Azure AD, abrindo caminho para roubo de dados e muito mais.
Uma apresentação futura na Black Hat USA em agosto detalhará como uma combinação tóxica de configurações de conta de convidado padrão facilmente manipuladas e conexões promíscuas dentro da plataforma de desenvolvimento de baixo código da Microsoft conhecida como Power Apps pode abrir a porta para dar às contas de convidado acesso amplo a as joias corporativas. O Power Apps fornece um ambiente de desenvolvimento rápido para empresas criarem aplicativos personalizados que conectam várias fontes de dados online e locais (como SharePoint, Microsoft 365, Dynamics 365, SQL Server e assim por diante).
O pesquisador Michael Bargury, CTO da Zenity, apresentará suas descobertas em uma sessão na quinta-feira, 10 de agosto, intitulada ” All You Need is Guest “. Ele observou na redação da sessão que os convidados podem usar APIs não documentadas para obter acesso a servidores SQL corporativos, sites do SharePoint, segredos do KeyVault e muito mais; eles também podem criar e controlar aplicativos de negócios internos para serem movidos lateralmente dentro da organização.
“Do ponto de vista do time azul que defende uma organização, espero mostrar que convidar convidados traz muito mais riscos do que eles imaginam”, diz ele. “Esta é a primeira pesquisa de que tenho conhecimento que mostra que os hóspedes podem realmente obter acesso aos dados, não apenas entender seu diretório ou algo parecido.”
Um caminho de duas etapas para o acesso malicioso do Azure AD
Bargury diz que a exposição potencial pode ser alcançada por meio de um processo de duas etapas. A primeira parte de sua demonstração na Black Hat USA mostrará como é fácil obter uma conta de convidado com configurações padrão – aquelas que essencialmente mostram acesso a nenhum aplicativo – e, usando algumas manipulações baratas que incluem criar licenças de teste e cancelá-las , dê visibilidade a um usuário convidado no ambiente padrão do Power Apps, que existe nesse locatário do AAD.
Depois que essa visibilidade for estabelecida, os usuários convidados poderão ver todas as conexões de aplicativos criadas no Power Apps que foram marcadas como “compartilhadas com todos” pelos desenvolvedores.
“A causa raiz do problema que estou mostrando surge quando alguém cria ou compartilha um aplicativo usando algo que a Microsoft chama de ‘compartilhar com todos'”, observa Bargury. “E quando você compartilha com todos, pode pensar que é compartilhado com todos em sua organização, mas essencialmente significa todos em seu locatário AAD, que inclui convidados.”
Por sua vez, esses aplicativos se conectam a dados em segundo plano que podem ser confidenciais.
“Esses são recursos no Azure AD . Eles podem estar no local, podem ser as próprias contas pessoais das pessoas que foram compartilhadas em excesso em toda a organização”, diz ele.
Por padrão, apenas porque uma conta de convidado pode ver essas conexões não significa necessariamente que eles podem usá-las para obter dados, graças às limitações que a Microsoft criou por meio de proteções como seus controles DLP da Power Platform. No entanto, Bargury demonstrará como é capaz de contornar essas proteções como a segunda etapa do processo de ataque.
“Uma vez que você está dentro e pode ver as coisas que foram compartilhadas em excesso, você precisa ser capaz de usá-las”, diz ele. “Estou usando pesquisas feitas por outras pessoas que me permitem basicamente alcançar as APIs internas da Microsoft com autenticação de usuário existente. A razão pela qual consigo passar por cada uma dessas conexões e despejar os dados por trás delas é porque Consegui destacar as APIs de front-end para Power Platform e descobrir a infraestrutura por trás delas. E, basicamente, estou acessando diretamente a infraestrutura em termos de APIs de front-end, o que significa que posso a) contornar as defesas; e b) não deixar toras.”
Limitando o risco cibernético do compartilhamento promíscuo
Bargury diz que sua palestra soará o alarme sobre a gravidade desse problema e também fornecerá ao público as ferramentas para lidar com o risco representado por essa exposição. Ele também guiará o público pelas configurações que podem ser alteradas para limitar o escopo do acesso de convidados em seu ambiente AAD e falará sobre como detectar as manipulações que podem levar a esse compartilhamento excessivo tóxico nas contas de convidados.
“Uma das principais coisas que estou fazendo aqui é usar a pesquisa para obter tokens de autenticação para essas APIs internas”, diz ele. “E esse é um evento que você pode configurar o AAD para registrar. Se você descobrir que o usuário, especialmente o usuário convidado, provisionou para si um token de autenticação para uma API interna da Microsoft que não deve ser exposta, isso deve ser um sinal de alerta. “
Como parte da palestra, Bargury lançará uma nova ferramenta chamada PowerGuest, uma ferramenta de auditoria exploratória que ajudará os times azuis e vermelhos a entender o verdadeiro escopo do acesso de convidados em um locatário do AAD.
O outro ponto importante em que ele se concentrará é que os defensores realmente devem começar a entender melhor as conexões e credenciais abertas em seus ambientes AAD por meio do Power Apps.
“Se você está construindo coisas em plataformas de baixo código, precisa entender que é muito fácil compartilhar credenciais e identidades entre diferentes usuários. Quando você cria um aplicativo e o compartilha com outras pessoas, elas acabam obtendo acesso à conexão subjacente, à fonte de dados subjacente”, diz Bargury, que abordou esse conceito em uma pesquisa diferente apresentada no início deste ano na RSA Conference .
FONTE: DARKREADING