A empresa de segurança cibernética Varonis descobriu que um invasor pode usar um ambiente de TI comprometido no local para dinamizar e atacar o ambiente Azure de uma organização.
Usar um PC comprometido como trampolim para se mover através de uma rede para invadir outros alvos é uma tática que os cibercriminosos freqüentemente empregam e pesquisador de segurança da Varonis, Eric Saraga descobriu que era possível manipular um servidor local conhecido como agente do Azure para estabeleça um backdoor e obtenha credenciais de usuário da nuvem.
Saraga desenvolveu um ataque de prova de conceito que explora a autenticação de passagem do Azure que instala um agente do Azure local que autentica usuários sincronizados da nuvem. Isso permitiu que ele criasse uma forma de senha ‘chave de esqueleto’ em um agente do Azure.
Usando essa chave básica, um invasor pode escalar privilégios para o administrador global para obter acesso ao ambiente local de uma organização. Isso permitiria ao invasor extrair nomes de usuário e senhas do ambiente do Azure da empresa.
Azure e Chave Esqueleto
Felizmente, a exploração de Saraga pode ser bloqueada usando a autenticação multifator para proteger as contas do Azure de uma empresa, bem como monitorando ativamente seus servidores de agentes do Azure.
Esse ataque também seria difícil para os cibercriminosos, já que precisariam invadir uma rede corporativa.
Outra coisa que vale a pena notar é o fato de que isso é uma exploração e não uma vulnerabilidade, para que a Microsoft não esteja emitindo um patch para corrigi-lo. A gigante do software respondeu ao relatório da Varonis , dizendo:
“Este relatório não parece identificar uma fraqueza em um produto ou serviço da Microsoft que permitiria que um invasor comprometesse a integridade, disponibilidade ou confidencialidade de uma oferta da Microsoft. Para esse problema, o invasor precisa comprometer a máquina primeiro antes de assumir o serviço. ”
Como um patch não está sendo desenvolvido, Saraga diz que as organizações devem bloquear seus ambientes do Azure usando a autenticação de múltiplos fatores para evitar ser vítima de qualquer ataque potencial que aproveite essa exploração.
Saiba mais em nosso setor especializado em segurança digital.
