新たな攻撃の悪用:Microsoftのクロステナント同期

2023年8月1日
Arpan Sarkar
シニア・セキュリティエンジニア
新たな攻撃の悪用:Microsoftのクロステナント同期

Vectra Research は最近、Microsoft が新たにリリースした機能を利用して、別の Microsoft テナントへの横移動を実行する方法を発見しました。

エグゼクティブサマリー

  • Vectra Research は、他の Microsoft テナントへの横移動を可能にする、Azure Active Directory に対する新しい攻撃ベクトルを特定しました。
  • Vectra は、こちらで最初に概要を説明した、Azure テナントで永続的なアクセスを維持する手法も示しています。
  • この攻撃ベクトルを実行するための基礎となる機能は、すべての Microsoft 導入環境に存在します。
  • この攻撃ベクトルは、ドメインフェデレーションの悪用やパートナー企業の追加など、使用されていることが知られている同様の攻撃ベクトルを踏襲しており、検知とレスポンスにはアクティブな監視が必要です。
  • Vectraは、オープンソースのMAAD攻撃フレームワーク内でセキュリティテストを行うためのPOCを公開しました。
  • Vectra は、このレポートで技術を文書化する前に、Vectra の AI 検知がこの操作をカバーできることを検証しました。

はじめに

攻撃者は引き続き Microsoft ID をターゲットにして、接続された Microsoft アプリケーションやフェデレーション SaaS アプリケーションにアクセスします。 さらに、攻撃者は、脆弱性を悪用するのではなく、目的を達成するために Microsoft のネイティブ機能を悪用することで、これらの環境で攻撃を進め続けます。 SolarWinds 攻撃に関連する攻撃者グループ Nobelium は、Microsoft テナントへの永続的なアクセスを可能にする Federated Trusts[4]の作成などのネイティブ機能を使用していることが文書化されています。

本ブログでは、攻撃者が悪用することで、Microsoft Cloudテナントへの永続的なアクセスと、別のテナントへの横移動機能を可能にする追加のネイティブ機能を紹介します。 この攻撃ベクトルにより、侵害されたテナント内で動作する攻撃者は、誤って構成されたクロステナント同期 (CTS) 構成を悪用して、接続されている他のテナントにアクセスしたり、不正な CTS 構成を展開してテナント内の永続性を維持したりすることが可能になります。

この手法が実際に使用されているのは観察されていませんが、同様の機能が過去に悪用されてきたことを考慮して、攻撃がどのように発生するか、またその実行を監視する方法を防御者が理解できるように詳細を提示します。さらに、このブログでは、Vectraのお客様が現在どのようにカバレッジを持っているかレビューします。この機能は、AI主導の検知とVectra Attack Signal IntelligenceTMを通して、初日から提供されています。

クロステナント同期

CTS は Microsoft の新機能で、組織が他のソース テナントのユーザーとグループを同期し、ターゲット テナント内のリソース (Microsoft アプリケーションと Microsoft 以外のアプリケーションの両方) へのアクセスを許可できるようにします。 CTS 機能は、以前の B2B 信頼構成に基づいて構築されており、異なるテナント間の自動化されたシームレスなコラボレーションを可能にし、多くの組織が導入を検討している機能です。 [2][3]

クロステナント同期図式

CTS は、関連会社全体に複数のテナントがある複合企業のような組織にとって強力で便利な機能ですが、正しく構成および管理されていない場合、悪意のある攻撃者による偵察、横方向の移動、および持続的な攻撃の可能性も生じます。 攻撃者が CTS を悪用して、侵害された可能性のあるテナントから CTS 信頼関係で構成された他のテナントへの信頼関係を悪用するために利用できる潜在的なリスクと攻撃パスについて説明します。 

  • CTS を使用すると、別のテナントのユーザーをターゲット テナントに同期 (追加) できます。
  • 緩やかに構成された CTS 構成を悪用して、侵害されたテナントから同じ組織または別の組織の別のテナントに横方向に移動する可能性があります。
  • 不正な CTS 構成は、敵対者が制御する外部の Microsoft テナントからのアクセスを維持するためのバックドア手法として導入および使用される可能性があります。

想定される妥協点

悪用手法は、想定された侵害の哲学に従っています。 これらのエクスプロイトで使用される手法は、Microsoft Cloud環境で ID が侵害されたことを前提としています。 実際の設定では、Microsoft が管理する ID を使用した Intune が管理するエンドポイントでのブラウザーの侵害が原因である可能性があります。

用語解説

用語表

ファシリテーター

CTSのコンフィギュレーションについて知っておくべき重要なこと: 

攻撃

このブログで説明する攻撃手法には、特定のライセンスと特権アカウントの侵害、または侵害されたテナント内の特定のロールへの特権昇格が必要です。Global Adminロールは、テナント内でこれらのすべてのアクションを実行できます。 [2]

アタックテーブル

テクニック1:横方向の動き

侵害された環境で活動する攻撃者は、既存のCTS構成テナントを悪用して、あるテナントから別の接続テナントに横移動することができる。

横移動攻撃の概略
図1:横移動攻撃の概要

  1. 攻撃者は侵害されたテナントにアクセスする。 
  2. 攻撃者は、配置されたクロステナント アクセス ポリシーを介して接続されているターゲット テナントを特定するために環境を再確認します。

パソコンのスクリーンショット

  1. 攻撃者は接続されている各テナントの Cross Tenant Access ポリシー設定を確認し、「Outbound Sync」が有効になっているテナントを特定する。Outbound Syncが有効になっているCTAポリシーでは、現在のテナントのユーザーとグループをターゲットテナントに同期させることができる。

パソコンのスクリーンショット

  1. CTAポリシーの構成分析から、攻撃者はOutbound Syncが有効になっている接続テナントを見つけ、そのテナントを横移動のターゲットに設定する。

パソコンのスクリーンショット

  1. CTS同期アプリケーションを特定した後、攻撃者はその設定を変更し、現在侵害されているユーザアカウントをアプリケーション同期スコープに追加することができる。これにより、漏洩したユーザ・アカウントがターゲット・テナントに同期され、最初に漏洩したのと同じ認証情報を使用して、攻撃者がターゲット・テナントにアクセスできるようになる。

パソコンのスクリーンショット

  1. ターゲットテナントで同期をブロックする明示的なCTA受信条件がない場合、侵害されたアカウントはターゲットテナントに同期される。
  2. 攻撃者は、最初に侵害された同じアカウントを使用して、ターゲットテナントに横方向に移動する。

テクニック2:バックドア

侵害されたテナントで活動する攻撃者は、不正な Cross Tenant Access 構成を展開し、永続的なアクセスを維持することができます。

バックドア攻撃の概略
図2:CTSバックドア攻撃の概要

  1. 攻撃者は侵害されたテナントにアクセスする。
  1. 攻撃者は、自分のテナントからプッシュ経由でターゲットの被害者テナントに新規ユーザーを将来いつでも同期できるようになる。これにより、攻撃者は外部からコントロールされたアカウントを使用して、ターゲットテナント上のリソースに将来的にアクセスできるようになる。

ディフェンス

Vectraのお客様

Vectra の既存のアラート ポートフォリオは、この運用への影響や、このイベントの前に発生すると予想されるアクションを理解する前でも、このアクティビティを検出できます。

この手法では実際には脆弱性が悪用されていないため、十分な権限を持つ環境に攻撃者が侵入すると、これを阻止することが難しくなります。 ただし、VectraのAI主導の検知は、シグネチャや既知の操作のリストに依存することなく、この種の権限乱用シナリオを検知できるように設計されています。

VectraのAzure AD Privilege Operation Anomalyは、環境内のすべての操作とすべてのユーザーの基礎となる値を監視します。 AIは、環境内で発生すべきアクションの種類のベースラインを継続的に作成し、クラウドベースの権限濫用のケースを特定します。 Vectraは、特権濫用の行為に焦点を当てることで、ここで文書化されているような新たな手法を特定することができます。

パソコンのスクリーンショット
図3: 危殆化したテナントにクロステナント・アクセス・ポリシーを展開する危殆化したアカウント

パソコンのスクリーンショット
図4: テナントへのインバウンド同期を有効にする侵害されたアカウント

パソコンのスクリーンショット
図5:ユーザー同意の自動償還を可能にする侵害されたアカウント

トークンの盗難やその他のアカウント侵害に続くアカウントアクセスなど、攻撃前に発生する攻撃者のアクションは、Azure AD Unusual Scripting Engine Usage、Azure AD Suspicious Sign-on、Azure AD Suspicious OAuth ApplicationなどのVectraの検知によってアラートされます。

Microsoft Cloudセキュリティテスト

定期的かつ効果的に環境をテストすることは、サイバー攻撃に対する防御能力を確信する最善の方法です。MAAD-Attack Frameworkは、オープンソースの攻撃エミュレーションツールであり、最も一般的に使用されている攻撃者のテクニックを組み合わせ、セキュリティチームがシンプルな対話型ターミナルを介して、迅速かつ効果的にその環境でエミュレートすることを可能にします。GitHubでMAAD-AFをご確認いただくか、こちらで詳細をご覧ください。 

セキュリティチームは、MAAD-AFモジュール「Exploit Cross Tenant Synchronization」を使用して、CTS悪用テクニックを自分の環境でエミュレートし、テストできます。

参考文献

  1. https://learn.microsoft.com/en-us/azure/active-directory/external-identities/cross-tenant-access-overview
  2. https://learn.microsoft.com/en-us/azure/active-directory/multi-tenant-organizations/cross-tenant-synchronization-overview
  3. https://invictus-ir.medium.com/incident-response-in-azure-c3830e7783af
  4. https://attack.mitre.org/techniques/T1484/002

よくあるご質問(FAQ)

新たに発見されたAzure Active Directoryに対する攻撃ベクトルとは?

この攻撃経路は、MicrosoftのCTS(Cross-Tenant Synchronization)機能を利用して、別のMicrosoftテナントへ横移動するものです。この方法は、Microsoftのネイティブ機能を悪用してテナント間でユーザーとグループを同期させるもので、攻撃者は接続されたテナントへの永続的なアクセスを取得できる可能性があります。

CTSに関連する潜在的なリスクとは?

CTSの設定が不十分な場合、攻撃者は侵害されたテナントから別のテナントへ横方向に移動したり、不正なCTS設定を導入して永続的なアクセスを維持したりすることができます。これにより、複数のテナントにまたがる機密データやシステムへの不正アクセスが発生する可能性があります。

ラテラル・ムーブメントとは何か?

横方向への移動とは、攻撃者が侵害されたネットワークやシステムを経由して、さらに別のリソースにアクセスすることです。CTSにより、攻撃者は既存の同期設定を悪用して、あるテナントから別の接続されたテナントに移動し、アクセスを拡大することができます。

この攻撃ベクターに対して、Vectraはどのような検知機能を提供しているのか?

VectraAzure AD Privilege Operation Anomaly などのAI主導 検出は、異常なアクティビティや特権の乱用シナリオを監視します。これらの検出は、シグネチャに依存するのではなく、動作分析に重点を置いているため、CTSエクスプロイトのような新たなテクニックを特定することができます。

組織はCTSの悪用に対する防御をどのようにテストできるのか?

組織は、MAAD-Attack Framework のようなツールを使用して、CTS 搾取技術をエミュレートし、テストすることができます。定期的かつ効果的なテストは、防御がそのような攻撃を検知し、軽減する能力を確実にするのに役立ちます。

クロステナント同期(CTS)機能はどのように機能するのですか?

CTSにより、組織は他のソーステナントのユーザーとグループを同期し、ターゲットテナントのリソースへのアクセスを許可することができる。これにより、異なるテナント間のコラボレーションが容易になる一方で、適切に管理されなければ潜在的なセキュリティリスクも生じる。

攻撃者がCTSを悪用するためには、どのような前提条件が必要なのか?

攻撃者は、Microsoft cloud環境の特権アカウント(グローバル管理者ロールのような)を侵害し、横移動または永続的なアクセスに必要なアクションを実行する必要があります。これは多くの場合、最初の ID がすでに侵害されているという仮定に従います。

不正なCTSコンフィギュレーションがバックドアとして使用される可能性は?

不正なCTSコンフィギュレーションを導入することで、攻撃者は敵が管理するテナントからターゲットとなる被害者テナントに新規ユーザーを同期させることができます。これにより、攻撃者は同期されたアカウントを使用して将来のアクセスを維持し、ターゲットテナントへのバックドアを効果的に作成することができます。

この攻撃ベクターに対して、Vectraはどのような検知機能を提供しているのか?

この攻撃ベクターは、脆弱性ではなくネイティブ機能を悪用するため、従来の防御方法では効果が低い。継続的な監視と能動的な検知により、疑わしい活動を早期に特定し、潜在的な脅威に対してタイムリーなレスポンス 。

CTSに関連するリスクを軽減するために、セキュリティ・チームは何をすべきか?

セキュリティチームは、CTS設定の適切な構成と管理を確実に行い、同期ポリシーを定期的に見直して更新し、高度な脅威検知とレスポンス プラットフォームを活用する必要があります。Vectra のAI主導 検出を導入することで、特権乱用シナリオを特定し対応する能力を強化することができます。

CTSに関連するリスクを理解し、それに対処することで、企業は高度な持続的脅威や横移動攻撃からMicrosoft cloud 環境をよりよく保護することができる。