La empresa de ciberseguridad Varonis descubrió que un atacante puede usar un entorno informático local comprometido para pivotar y atacar el entorno Azure de una organización.
Usar una PC comprometida como trampolín para moverse a través de una red para hackear otros objetivos es una táctica que los cibercriminales emplean con frecuencia y el investigador de seguridad en Varonis, Eric Saraga descubrió que era posible manipular un servidor local llamado Agente Azure para establecer una puerta trasera y obtener credenciales de usuario de la nube.
Saraga ha desarrollado un ataque de prueba de concepto que explota el inicio de sesión único de Azure que instala un agente de Azure local que autentica a los usuarios sincronizados desde la nube. Esto le permitió crear una forma de contraseña de "clave maestra" en un agente de Azure.
Con esta llave maestra, un atacante podría aumentar los privilegios del administrador global para acceder al entorno local de una organización. Esto permitiría al atacante extraer nombres de usuario y contraseñas del entorno Azure de una organización.
ผ่านทุกที่
Afortunadamente, el exploit de Saraga se puede bloquear mediante el uso de autenticación de múltiples factores para proteger las cuentas de Azure de una empresa, así como monitorear activamente sus servidores de agente de Azure.
Este ataque también sería difícil de realizar para los ciberdelincuentes, ya que primero tendrían que hackear una red corporativa.
Otra cosa a tener en cuenta es el hecho de que se trata de un exploit en lugar de una vulnerabilidad, por lo que Microsoft no lanzará un parche para solucionarlo. El gigante del software respondió al informe de Varonis diciendo:
"Este informe no parece identificar una debilidad en un producto o servicio de Microsoft que permitiría a un atacante comprometer la integridad, disponibilidad o confidencialidad de una oferta de Microsoft. Para este problema, el atacante primero debe comprometer la máquina antes de poder reanudar el servicio. "
Dado que no hay soluciones en el desarrollo, Saraga dice que las organizaciones deberían bloquear sus entornos de Azure utilizando autenticación de múltiples factores para evitar ser víctimas de posibles ataques que exploten esta vulnerabilidad.
Via The Daily Swig