Найден способ манипулирования процессом проверки учетных данных в средах идентификации Microsoft Entra ID

Атака затрагивает организации, которые синхронизировали несколько локальных доменов Active Directory с одним клиентом Azure.

Исследователи нашли способ манипулировать процессом проверки учетных данных в средах идентификации Microsoft Entra ID, который, по их словам, злоумышленники могут использовать для обхода аутентификации в гибридных инфраструктурах идентификации.

Для атаки злоумышленнику потребуется иметь права администратора на сервере , на котором размещен агент сквозной аутентификации (PTA) — компонент, который позволяет пользователям входить в облачные сервисы, используя локальные учетные данные Microsoft Entra ID (ранее Azure Active Directory).

Затем они могут использовать этот доступ для входа в систему в качестве пользователя Entra ID в различных локальных доменах без необходимости отдельной аутентификации, говорится в отчете исследователей из Cymulate .

Превращение PTA в двойного агента

«Эта уязвимость фактически превращает агента PTA в двойного агента, позволяя злоумышленникам входить в систему как любой синхронизированный пользователь AD, не зная его фактического пароля», — пишет исследователь безопасности Cymulate Илан Календаров.

«Это потенциально может предоставить доступ глобальному администратору, если такие привилегии были назначены, независимо от его исходного синхронизированного домена AD», а также обеспечить горизонтальное перемещение в различные локальные домены.

Microsoft не сразу ответила на запрос Dark Reading о комментарии. Но, по данным Cymulate, Microsoft планирует исправить код на своей стороне, чтобы решить проблему. Однако компания также описала технику атаки как представляющую угрозу только средней степени серьезности, сообщил израильский поставщик безопасности.

Ранее в этом месяце на конференции Black Hat USA 2024 исследователь безопасности компании Semperis раскрыл еще одну проблему с Entra ID , которая позволяла злоумышленникам получить доступ ко всей облачной среде организации.

Злоумышленники все больше внимания уделяют облачным службам идентификации, таким как Entra ID, Okta и Ping, поскольку, как только им удается взломать одного из этих поставщиков, они получают полный доступ к корпоративным данным в SaaS-приложениях.