Malwarebytes坚称其Office 365,Azure租约已被违反

2021-01-21 08:35:35

微软指出,通过Azure AD中的应用程序权限可以进行特权升级

安全公司Malw​​arebytes怀疑SolarWinds黑客背后的同一攻击者违反了Office 365和Azure租约,但认为Azure Active Directory安全性的缺陷也应归咎于此。

Malwarebytes的产品包括为消费者和企业广泛使用的反恶意软件工具,该公司表示不使用SolarWinds,但认为同一攻击者使用了另一种入侵媒介,该入侵媒介通过滥用对Microsoft Office 365和Windows 2000的特权访问应用程序来工作Azure环境"。

入侵者只能访问内部公司电子邮件的一部分。 Malwarebytes表示,没有证据表明有人擅自访问内部或内部和生产环境。恶意软件字节组还检查了其源代码并构建了流程,包括"对我们自己的软件进行逆向工程"但找不到任何损害的证据,因此可以断定我们的软件仍然可以安全使用。"

Malwarebytes是如何被破坏的?公司报告中有关于此主题的一些但不完整的信息。在Microsoft的云中,有称为服务主体的目录对象,可以为其分配特权。服务主体特定于Azure AD租约,并代表该租约中的应用程序。当管理员授予应用程序权限时,他们实际上是为其应用程序主体授予权限。

用户与应用程序不同,但是用户可以通过某些技术以应用程序身份登录。为此,管理员可以为服务主体分配密码或证书,然后以该服务主体身份登录,从而获得与应用程序相同的特权。

安全研究人员Dirk-jan Mollema认为这是一个漏洞,因为它允许应用程序管理员提升其特权。

我真的不明白为什么可以通过这种方式将凭据分配给默认服务主体,以及这样做的潜在合法目的是什么,"他说。我认为,不可能将凭据分配给第一方Microsoft应用程序。 Azure门户不提供此选项,并且不显示这些' backdoor'服务主体凭据,但是Microsoft Graph和Azure AD Graph之类的API没有这样的限制。"他向Microsoft报告了此问题,但被告知该问题已记录在案,因此不是漏洞。

Malwarebytes表示这是其自身违规的机制。 "在我们的特定情况下,威胁参与者将带有凭据的自签名证书添加到服务主体帐户。从那里,他们可以使用密钥进行身份验证并进行API调用,以通过MSGraph请求电子邮件。"该公司说。

仍然有特权才能升级它们,那么对MalwareBytes的最初攻击是什么?这个细节没有透露。最接近的是对此美国政府咨询的引用,该声明指出密码猜测或不安全的服务凭据可能(通常)用于破坏Azure AD环境。由于MalwareBytes表示其内部网络未受到破坏,因此逻辑表明已使用了类似这种外部方法。

恶意软件字节数报告将重点放在Azure AD安全上。在这种情况下,有关监视Azure AD安全的最新FireEye报告是相关的,并且还注意到广泛使用的AD Connect工具可以将本地Active Directory与Azure AD同步,这意味着具有未经授权访问本地AD的恶棍可以很快扩展他们对云环境的访问。在2019年3月的报告中,Mollema显示了如何利用AD Connect服务器在Azure AD上获得完全特权。

赛门铁克最近对" Raindrop"恶意软件,它相信有时会通过受到威胁的SolarWinds安装来部署。 Raindrop允许远程命令和控制。 Symantec注意到在安装了DSInternals的受害者计算机上的活动,他们说这是合法工具,可用于查询Active Directory服务器和检索数据,通常是密码,密钥或密码哈希。 34;

确保Azure AD的安全具有挑战性,MalwareBytes引用CrowdStrike工具对于缓解风险很有用。与该工具一起,CrowdStrike列出了管理员可以采取的一系列步骤,包括查看授予第三方(如合作伙伴和转售商)的访问权限,限制与AD Connect同步的对象,清理在Azure AD中注册的未使用的应用程序,对所有用户,并检查Exchange是否存在可疑规则,例如邮箱转发。

微软对云的混合方法增加了可能的攻击数量,但是如果没有微软的安全情报工具进行可疑活动,恶意软件字节可能仍然不知道其系统受到了破坏。 ®

注册-技术社区的独立新闻和观点。 情境发布的一部分