A empresa de cibersegurança Varonis descobriu que um invasor pode usar o ambiente de TI local em perigo para girar e atacar o ambiente Azure da organização.
Usar um computador invadido como ponto de partida para navegar em uma rede e violar outros objetivos é uma tática frequentemente usada por criminosos cibernéticos e um pesquisador de segurança em Varonis, Eric Saraga descobriu que era possível manipular um servidor local conhecido como Proxy do Azure para criar uma porta dos fundos e obter credenciais de usuário de A nuvem.
Saraga desenvolveu um ataque de prova de ataque que usa os transeuntes de autenticação do Azure para instalar o Proxy do Azure, autenticando localmente usuários simultâneos da nuvem. Isso permitiu que ele crie um formulário da senha da Chave do Esqueleto no Proxy do Azure.
Com essa chave básica, o invasor pode escalar privilégios para o administrador global para obter acesso ao ambiente interno da empresa. Isso permitirá que o invasor extraia nomes de usuário e senhas do ambiente do Azure da empresa.
Estrutura chave
Felizmente, o uso do Saraga pode ser proibido usando a autenticação multifator para proteger as contas do Azure para a empresa, bem como monitorando ativamente os servidores proxy do Azure.
Esse ataque também será difícil para os cibercriminosos se retirarem, pois eles primeiro precisarão penetrar na rede corporativa.
Outra coisa digna de nota é o fato de ser uma vulnerabilidade de exploração e não de segurança; portanto, a Microsoft não lançará um patch para corrigi-lo. A gigante do software respondeu ao relatório Faroneese, dizendo:
"Este relatório não parece identificar uma vulnerabilidade em um produto ou serviço da Microsoft que permita que um invasor comprometa a segurança, a disponibilidade ou a confidencialidade da oferta da Microsoft. Para esse problema, o invasor precisa primeiro invadir o dispositivo antes de assumir o serviço".
Como o patch não está sendo desenvolvido, Saraga diz que as organizações devem fechar seus ambientes do Azure usando a autenticação multifator para evitar se tornar vítima de qualquer ataque em potencial que reforce essa exploração.
Via The Daily Swig
