La fonctionnalité CTS d’Azure AD peut être utilisée pour faire des mouvements latéraux
Disponible depuis juin 2023, la fonctionnalité Cross-Tenant Synchronization (CTS) d'Azure Active Directory (futur Microsoft Entra ID) peut être exploitée pour effectuer des mouvements latéraux entre les tenants. Explications.
Au sein de Microsoft Azure, chaque organisation dispose de son tenant avec ses propres utilisateurs, ses ressources, ses stratégies, ses paramètres, etc... Une même entreprise peut avoir un seul tenant, ou plusieurs tenants, pour des raisons d'organisation. Tout dépend de la structure de l'entreprise et de sa taille.
Grâce à la fonction Cross-Tenant Synchronization d'Azure Active Directory, il est possible de synchroniser les utilisateurs et les groupes entre plusieurs tenants, ce qui facilite les interactions entre les tenants et la collaboration, tout en permettant une segmentation. Dans ce cas, un tenant source est synchronisé avec un tenant de destination, et c'est bien le tenant source qui va pousser les utilisateurs vers le tenant de destination (synchronisation unidirectionnelle).
En cas de mauvaise configuration de cette synchronisation, un attaquant qui prendrait le contrôle d'un tenant Azure Active Directory et qui aurait des privilèges élevés sur ce tenant, pourrait exploiter cette fonctionnalité pour effectuer des mouvements latéraux. Pour obtenir un accès persistant, il pourrait même déployer sa propre configuration de la fonction CTS.
Entre mouvements latéraux et porte dérobée
L'entreprise Vectra, spécialisée dans la cybersécurité, a publié un rapport au sujet des mouvements latéraux possibles avec la fonction CTS d'Azure Active Directory. La première bonne nouvelle, c'est que cette technique ne serait pas exploitée par les pirates pour le moment : "Nous n'avons pas observé l'utilisation de cette technique dans la nature, mais compte tenu de l'abus historique d'une fonctionnalité similaire, nous présentons des détails pour que les défenseurs comprennent comment l'attaque se présenterait et comment surveiller son exécution."
Dans la pratique, si un pirate parvient à compromettre un tenant, à obtenir des privilèges élevés et que ce tenant se synchronise sur un autre tenant (synchronisation sortante) via la fonctionnalité CTS, il pourrait créer son propre compte et l'ajouter au périmètre de la synchronisation. De ce fait, il bénéficierait d'un accès au tenant de destination : un joli mouvement latéral.
Pour la persistance, cela consiste à déployer une nouvelle configuration CTS avec une synchronisation entrante sur le tenant. Ainsi, le pirate peut synchroniser les comptes de son propre tenant vers le tenant compromis. Vectra parle même d'une porte dérobée puisque si le compte synchronisé est supprimé, mais que la configuration CTS reste présente, le pirate peut synchroniser un nouveau compte et récupérer de nouveau l'accès.
La recommandation de Vectra est de limiter au maximum la stratégie de synchronisation CTS (spécifier des groupes et utilisateurs précis / ne pas ouvrir à tout le monde) afin de garder le contrôle et éviter que n'importe quel compte puisse être synchronisé. Par ailleurs, il est recommandé de combiner l'utilisation de l'accès cross-tenant avec l'accès conditionnel.
