Gefahren durch Azure-Generalschlüssel

Sicherheitsforscher von Varonis zeigen mit einem neuen Proof of Concept, wie ein Onpremises-Server (Azure-Agent) manipuliert werden kann, wodurch Angreifer in der Lage sind, eine Hintertür einzurichten und Benutzeranmeldeinformationen zu sammeln. Azure-Agent-Server werden benötigt, um Azure-Active-Directory (AD) und das lokale Active-Directory zu synchronisieren. Wurde dieses kompromittiert, können Angreifer eine Hintertür erstellen, die es ihnen ermöglicht, eine Liste sämtlicher synchronisierter Benutzer inklusive Passwörter zu erzeugen und sich als jeder synchronisierte Benutzer anzumelden.

Azure-AD-Connect verbindet eine Azure-AD-Umgebung mit einer lokalen Domäne und bietet hierfür verschiedene Authentifizierungsmethoden:

  • Passwort-Hash-Synchronisierung, durch welche die lokalen Vor-Ort-Hashes mit der Cloud synchronisiert werden.
  • Pass-Through-Authentifizierung, bei der ein „Azure-Agent“ vor Ort installiert wird, der synchronisierte Benutzer aus der Cloud authentifiziert.
  • Föderierte Integration, die sich auf eine AD-FS-Infrastruktur stützt.

Die beschriebene Angriffsmethode nutzt den Azure-Agenten aus, der für die Pass-Through-Authentifizierung verwendet wird. Hierbei versucht gemäß der Microsoft-Dokumentation der Authentifizierungsagent, den Benutzernamen und das Kennwort gegen das lokale Active-Directory zu validieren, indem er die Win32-Logon-User-API mit dem Parameter dwLogonType verwendet. Durch den Einsatz des Tools API-Monitor, welches sämtliche API-Aufrufe von Diensten und Anwendungen protokolliert, erhält man das Passwort des entsprechenden Nutzers. Voraussetzung hierfür ist jedoch, dass der Angreifer Administratorenrechte auf einem Server, auf dem ein Azure-Agent installiert ist, besitzt. Ohne weiteren großen Aufwand ist es dann möglich, eine Liste sämtlicher synchronisierter Benutzer, die sich mit Azure-AD (z.B. O365) verbinden, zu erstellen – inklusive der jeweiligen Passwörter im Klartext. Darüber hinaus können Angreifer eine Art Generalschlüssel erstellen, der es ihnen erlaubt, sich als beliebiger Benutzer mit einem vom ihnen gewählten Passwort zu authentifizieren. Auf diese Weise kann sich jeder Benutzer immer noch mit seinem eigenen Passwort verbinden, Angreifer können sich aber erfolgreich als jeder Benutzer authentifizieren, indem sie das von ihnen erstellte Passwort verwenden.

Die Sicherheitsforscher von Varonis weisen darauf hin, dass es sich bei dem beschriebenen Angriffsweg um keine Schwachstelle handelt, sondern um eine neue Möglichkeit, eine Azure-synchronisierte Umgebung zu kompromittieren. Ein Angreifer benötigt hierzu einen privilegierten Zugang, um den Azure-Agenten auf diese Weise auszunutzen. Entsprechend ist auch mit keinem Patch seitens Microsoft zu rechnen. Das Microsoft-Security-Response-Center wurde kontaktiert, sieht aber hierin „keine Schwachstelle in einem Microsoft-Produkt oder -Dienst, die es einem Angreifer ermöglichen würde, die Integrität, Verfügbarkeit oder Vertraulichkeit eines Microsoft-Angebots zu gefährden.“

 

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PHA+PGlmcmFtZSBzcmM9Imh0dHBzOi8vd3d3LnlvdXR1YmUtbm9jb29raWUuY29tL2VtYmVkL2hyclg3NE85RG9JIiB3aWR0aD0iODAwIiBoZWlnaHQ9IjQ4MCIgZnJhbWVib3JkZXI9IjAiIGFsbG93ZnVsbHNjcmVlbj0iYWxsb3dmdWxsc2NyZWVuIj48L2lmcmFtZT48L3A+

 

Schutzmaßnahmen

Privilegierte Angreifer könnten diesen Exploit nutzen, um eine Hintertür zu installieren oder Passwörter zu sammeln. Die herkömmliche Protokollanalyse kann dies möglicherweise nicht erkennen, wenn der Angreifer weiß, wie er seine Spuren verwischt. Die Verwendung von Multi-Faktor-Authentifizierung (MFA) kann verhindern, dass sich Angreifer mit einem gefälschten Passwort mit der Azure-Cloud verbinden, obwohl dieser Angriff dazu verwendet werden könnte, Passwörter in MFA-fähigen Umgebungen zu sammeln. Eine weitere Schutzmaßnahme gegen diesen Angriff besteht darin, die Server des Azure-Agenten zu sichern, die Benutzeraktivitäten auf ungewöhnliche Ressourcen- und Datenzugriffe zu überwachen und durch Klassifizierung Dateien zu entdecken, die Klartext-Benutzernamen und Passwörter enthalten.

Info: Weitere Informationen zum Proof of Concept und den Gefahren durch diesen Angriffsvektor unter https://www.varonis.com/blog/azure-skeleton-key.

#Varonis