Cyberkriminelle suchen immer wieder nach neuen Möglichkeiten, um in die Netzwerke von Unternehmen einzudringen und sich seitlich zu bewegen. Eine dieser Techniken wurde kürzlich von Forschern des Sicherheitsunternehmens Vectra AI entwickelt und dokumentiert.

Der Angriffsvektor basiert auf dem Missbrauch einer Azure Active Directory (AD)-Funktion namens Cross-Tenant-Synchronisation (CTS). Die Funktion ermöglicht es Unternehmen, Benutzer und Gruppen über verschiedene Azure AD-Instanzen hinweg zu synchronisieren. So können diese Benutzer auf Microsoft- und andere Anwendungen zugreifen, die mit verschiedenen Tenants verbunden sind.

"Dieser Angriffsvektor ermöglicht es einem Angreifer, der in einem kompromittierten Tenant operiert, eine falsch konfigurierte mandantenübergreifende Synchronisationskonfiguration zu missbrauchen und Zugriff auf andere verbundene Tenants zu erhalten oder eine betrügerische CTS-Konfiguration zu implementieren, um die Persistenz innerhalb des Tenants aufrechtzuerhalten", so die Forscher von Vectra AI in ihrem neuen Bericht. "Wir haben den Einsatz dieser Technik zwar nicht in freier Wildbahn beobachtet, aber angesichts des historischen Missbrauchs ähnlicher Funktionen stellen wir Details vor, damit Verteidiger verstehen, wie der Angriff aussehen würde und wie sie seine Ausführung verhindern können."

Die mandantenübergreifende Synchronisierung funktioniert, indem ein Quellmandant Benutzer mit einem Zielmandanten synchronisieren kann. Dies geschieht über Push-Anfragen vom Quell-Tenant basierend auf konfigurierten mandantenübergreifenden Zugriffsrichtlinien (CTA) in beiden Tenants.

Um beispielsweise Benutzer synchronisieren zu können, muss der Quellmandant über eine Richtlinie für den ausgehenden Zugriff auf den Zielmandanten verfügen. Der Zielmandant braucht eine Richtlinie für den eingehenden Zugriff, die die Synchronisierung von Benutzern aus dem Quellmandanten ermöglicht. Ein Quellmandant kann auch eine eingehende mandantenübergreifende Zugriffsrichtlinie haben und selbst ein Ziel für synchronisierte Benutzer aus einem anderen Mandanten sein. So entsteht ein Netz von mandantenübergreifenden Synchronisierungsverbindungen.

Wie bei allen Techniken für laterale Bewegungen setzt der Missbrauch von CTS die Kompromittierung privilegierter Anmeldeinformationen innerhalb eines Mandanten voraus. Damit ein Angriff funktionieren kann, müssen sowohl der Quell- als auch der Ziel-Tenant über Azure AD Premium P1- oder P2-Lizenzen verfügen, damit CTS verfügbar ist.

Der Angreifer benötigt Zugriff auf ein Konto mit der Rolle des Sicherheitsadministrators, um mandantenübergreifende Zugriffsrichtlinien zu konfigurieren, eine Hybrid-Identitätsadministratorrolle, um die mandantenübergreifende Synchronisierungskonfiguration zu ändern, oder eine Cloud-Administrator- oder Anwendungsadministratorrolle, um einer bestehenden CTS-Konfiguration neue Benutzer zuzuweisen. Abhängig von den bestehenden mandantenübergreifenden Zugriffsrichtlinien und der CTS-Konfiguration in einem Mandanten sowie den vom Angreifer erlangten Privilegien gibt es also verschiedene Möglichkeiten, wie dies für Lateral Movement oder Persistenz missbraucht werden kann.

Beim Proof-of-Concept-Angriff von Vectra AI wird davon ausgegangen, dass der Tenant bereits mandantenübergreifende Zugriffsrichtlinien für andere Tenants konfiguriert hat. Zunächst würde der Angreifer die Admin-Befehlsshell verwenden, um alle Tenants aufzulisten, für die der aktuelle Tenant Zugriffsrichtlinien hat.

Dann würde er jede der Richtlinien überprüfen, um einen Tenant zu identifizieren, für den eine ausgehende Richtlinie existiert. Dies bedeutet, dass der aktuelle Tenant so konfiguriert ist, dass er Benutzer mit diesem Ziel-Tenant synchronisiert.

Der nächste Schritt bestünde darin, die ID der Anwendung ausfindig zu machen, die in dem kompromittierten Tenant läuft und für die Synchronisierung verantwortlich ist, damit ihre Konfiguration geändert werden kann. Die Vectra-Forscher haben ein PowerShell-Skript erstellt und veröffentlicht, das den gesamten Prozess automatisiert.

"Es gibt keine einfache Möglichkeit, die mit dem Ziel-Tenant verbundene CTS-Synchronisierungsanwendung zu finden", so die Forscher. "Der Angreifer kann die Dienstprinzipale im Tenant aufzählen und versuchen, die Anmeldeinformationen mit dem Ziel-Tenant zu validieren, um schließlich die Anwendung zu finden, die den Synchronisierungsauftrag für den Ziel-Tenant hostet. Dies kann durch ein einfaches Modul wie dieses geschehen."

Nach der Identifizierung der Synchronisierungsanwendung kann der Angreifer das kompromittierte Konto, für das er bereits Anmeldeinformationen besitzt, zum Synchronisierungsbereich hinzufügen. Alternativ kann er den Synchronisierungsbereich der Anwendung überprüfen, der beispielsweise angeben könnte, dass alle Benutzer einer bestimmten Gruppe mit dem Zielmandanten synchronisiert werden. Sie könnten dann versuchen, ihren kompromittierten Benutzer direkt oder indirekt zu dieser Gruppe hinzuzufügen.

Neben der Verwendung eines kompromittierten Tenants als Quelle für laterale Bewegungen kann CTS auch als Hintertür verwendet werden, um die Persistenz eines kompromittierten Tenants aufrechtzuerhalten. So könnte der Angreifer beispielsweise eine mandantenübergreifende Zugriffsrichtlinie für den Opfer-Tenant erstellen, um einem externen Tenant unter seiner Kontrolle die Synchronisierung von Benutzern mit diesem zu ermöglichen. Er könnte dann auch die Option "automatische Benutzerzustimmung" aktivieren, damit der synchronisierte Benutzer nicht zur Zustimmung aufgefordert wird.

Das Ergebnis wäre, dass der Angreifer in der Lage ist, jederzeit neue Benutzer aus seinem externen Tenant mit dem Opfer-Tenant zu synchronisieren, um auf Ressourcen zuzugreifen, selbst wenn er den Zugriff auf das ursprüngliche Konto, das er kompromittiert hat, verliert.

Wie kann die mandantenübergreifende Synchronisierung geschützt werden?

Da diese Technik ein bestehendes, kompromittiertes Konto voraussetzt, sollten Unternehmen strenge Sicherheitspraktiken und die Überwachung von Konten durchsetzen, insbesondere von Konten mit administrativen Berechtigungen. Tenants, die CTS aktiviert haben, sollten eingehende mandantenübergreifende Zugriffsrichtlinien vermeiden, die die Synchronisierung aller Benutzer, Gruppen oder Anwendungen eines Quell-Tenants zulassen.

"Setzen Sie eine weniger umfassende Inbound-CTA-Konfiguration ein, indem Sie (wenn möglich) explizit Konten oder Gruppen definieren, die über CTS Zugriff erhalten können", so die Vectra AI-Forscher. "Kombinieren Sie die CTA-Richtlinie mit zusätzlichen Richtlinien für den bedingten Zugriff, um unbefugten Zugriff zu verhindern." (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.