La société de cybersécurité Varonis a découvert qu'un attaquant peut utiliser un environnement informatique sur site compromis pour pivoter et attaquer l'environnement Azure d'une organisation. Utiliser un PC compromis comme tremplin pour se déplacer sur un réseau afin de pirater d'autres cibles est une tactique fréquemment employée par les cybercriminels, et le chercheur en sécurité de Varonis, Eric Saraga, a découvert qu'il était possible de manipuler un serveur local appelé Azure Agent pour établir une porte dérobée et obtenir l'utilisateur. informations d'identification à partir du cloud. Saraga a développé une attaque de validation de principe qui exploite Azure Single Sign-On et installe un agent Azure sur site qui authentifie les utilisateurs synchronisés depuis le cloud. Cela vous a permis de créer une forme de mot de passe « clé principale » sur un agent Azure. Avec cette clé principale, un attaquant pourrait augmenter les privilèges de l'administrateur global pour accéder à l'environnement local d'une organisation. Cela permettrait à l'attaquant d'extraire les noms d'utilisateur et les mots de passe de l'environnement Azure d'une organisation.
Passe partout
Heureusement, l'exploit Saraga peut être bloqué en utilisant l'authentification multifacteur pour protéger les comptes Azure d'une entreprise, ainsi qu'en surveillant activement leurs serveurs d'agent Azure. Cette attaque serait également difficile à réaliser pour les cybercriminels, puisqu’ils devraient d’abord pirater un réseau d’entreprise. Une autre chose à garder à l’esprit est le fait qu’il s’agit d’un exploit plutôt que d’une vulnérabilité, donc Microsoft ne publiera pas de correctif pour le corriger. Le géant du logiciel a répondu au rapport de Varonis en déclarant : « Ce rapport ne semble pas identifier une faiblesse dans un produit ou un service Microsoft qui permettrait à un attaquant de compromettre l'intégrité, la disponibilité ou la confidentialité d'une offre Microsoft. l'attaquant doit d'abord compromettre la machine avant de pouvoir reprendre le service. » Comme aucun correctif n'est en cours de développement, Saraga affirme que les organisations devraient verrouiller leurs environnements Azure à l'aide de l'authentification multifacteur pour éviter d'être victimes d'attaques potentielles exploitant cette vulnérabilité. ViaLa gorgée quotidienne