כיצד תכונת Seamless SSO עלולה להוביל להשתלטות על נכסי הענן ולחשיפת משאבי הארגון.

סיכון אבטחה ב־Azure AD Seamless SSO: תנועה רוחבית מסכנת את משאבי הענן

ניצול Azure AD Seamless SSO לתנועה רוחבית מסביבת ה־On-Prem לסביבת הענן: איך זה עלול להוביל להשתלטות על משאבי ענן

במסגרת מבדק חדירה פנימי לארגון, הצוות הטכני שלנו זיהה סיכון משמעותי הקשור בתכונת Azure AD Seamless SSO המאפשרת תנועה רוחבית מסביבת ה־On-Prem לסביבת הענן. תכונה זו, המאפשרת התחברות אוטומטית למשתמשים בסביבת העבודה, עלולה להוביל לניצול חמור כאשר היא מנוהלת בצורה לא נכונה.

מה זה Azure AD Seamless SSO?

כיצד תכונת Seamless SSO מתנהלת והיכן טמון הסיכון

תכונת Azure AD Seamless SSO נועדה להקל על משתמשים המתחברים למכשירים ברשת הארגונית, בלי להקליד את שמות המשתמש והסיסמאות שלהם מחדש עבור שירותי Seamless SSO.
Azure משתמשת בפרוטוקול Kerberos כדי לנהל את תהליך האימות, וכוללת יצירת Machine Account הנקרא AZUREADSSOACC$ ב־Active Directory המקומי של הארגון.
הסיסמה של חשבון זה נשלחת בצורה גלויה ל־Azure AD במהלך תהליך ההגדרה. הסיסמה מוצפנת באמצעות NTHash ‏(MD4) וכרטיסי Kerberos מונפקים בהתבסס על סיסמה זו. כאשר חשבון ה־AZUREADSSOACC$ נפרץ, תוקף יכול להשתמש בכרטיסים אלו כדי לבצע תנועה רוחבית ולקבל גישה למשאבים בענן.

תהליך התקיפה: Silver Ticket

כיצד תוקפים יכולים לנצל סיסמה שלא התעדכנה ולבצע תנועה רוחבית

אחת הבעיות המרכזיות היא שהסיסמה של חשבון AZUREADSSOACC$ אינה משתנה כברירת מחדל, ומאפשרת לתוקפים להשתמש ב־Hash שנאסף בעבר. דומיין אדמין בסביבת ה־Active Directory המקומית יכול להשיג את ה־Hash של חשבון זה באמצעות טכניקות כמו DC Sync, מה שמוביל להרשאות ליצירת Silver Tickets – כרטיסים המאפשרים גישה לשירותי הענן של Azure עם הרשאות תואמות לכל משתמש המסונכרן ל־Azure AD.

מקרה לקוח: התחזות למשתמש בעל הרשאות גבוהות והשתלטות על ה־Azure ומערכת ה־365 הארגונית

תוקפים משתלטים על נכסי הארגון בענן

במהלך המבדק, הצוות הצליח להגיע לרמת הרשאות של Domain Admin וביצע מתקפת DC Sync כדי לקבל את כל ה־Hashים של משתמשי הארגון. לאחר מכן, באמצעות ה־Hash של חשבון ה־AZUREADSSOACC$, הצוות יצר Silver Ticket שאפשר להתחזות לכל משתמש הקיים במערכת ה־Active Directory המקומית ומסונכרן לענן.
אך כאן נתקל הצוות בבעיה – מנגנון ה־Conditional Access שהגדיר הארגון דרש אימות דו־שלבי כדי להתחבר למשתמשי Global Administrator. עם זאת, נראה שהגדרה זו חלה על משתמשי Global Administrator בלבד ולא על משתמשי Global Reader – משתמשים בעלי הרשאות קריאה בלבד למערכת הניהול. כך הצוות הצליח להתחזות לאחד מן המשתמשים בעלי הרשאות אלו ולגשת לחוקי ה־Conditional Access שהוגדרו בארגון.
לאחר ניתוחם, מצא הצוות כי קיים משתמש גיבוי שנוצר על ידי הארגון לתרחיש איבוד שליטה על המערכת. לרוב משתמשים כאלו  מוגדרים עם סיסמה קשה ביותר, אך אינם דורשים אימות דו־שלבי כדי למנוע אפשרות של נעילה מחוץ לארגון. להפתעתנו, משתמש זה הוגדר בסביבת ה־On-Prem ולא כמשתמש Cloud! הצוות יכול היה להתחזות גם אליו, ובמקרה שלנו סיסמת המשתמש אינה רלוונטית כיוון שבידינו קובץ ה־Hashים של כל המשתמשים, ובכך להשתלט על נכסי הענן של הארגון.

תובנות ממומחי סייבר בכירים של IPV Security

כדי למנוע ניצול של פגיעות זו, אנו ממליצים לבצע את הצעדים האלה:

1. הקשחת מנגנון Conditional Access: יש לדרוש אימות דו־שלבי עבור משתמשי Azure בעלי הרשאות גבוהות מכל סוג שהוא לנכסים בענן, ולוודא כי כל התחברות חשודה נחסמת.
2. החלפת Kerberos Key באופן קבוע: יש להחליף את ה־Kerberos Key עבור שירות ה־SSO פעם בחודש כדי למנוע ניצול של Hash ישן שנאסף.
3. הגדרת משתמש גיבוי לתרחישי אימה: יש להגדיר את משתמש הגיבוי כמשתמש Cloud בלבד כדי שלא יהיה חלק מסביבת ה־On-Prem הארגוני, וכך למנוע תנועה רוחבית לנכסי הענן במקרים של השתלטות תוקף על הסביבה המקומית.

סיכום
הסיכון שנחשף במבדק זה מדגים את החשיבות של ניהול נכון של תכונת Seamless SSO ב־Azure AD. כאשר הסיסמאות של חשבונות קריטיים אינן מתעדכנות באופן קבוע, נוצר סיכון שמאפשר לתוקפים לקבל גישה למשאבי ענן באמצעות שימוש ב־Silver Tickets. על ידי יישום בקרות נוספות, כמו החלפת הסיסמאות והקשחת הגדרות Conditional Access, אפשר להקטין את הסיכון ולשמור על האבטחה של מערכות הארגון.

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 19 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.