微软Azure AD跨租户同步功能的安全隐患
关键要点
提升权限的攻击者可以利用Microsoft Azure Active Directory的跨租户同步功能进行横向移动。已被入侵的租户可能会被检查其CTS配置,以寻找其他允许“外发同步”的租户。攻击者可以更改CTS同步应用的配置,将被妥协的用户纳入同步范围,从而无需输入新用户凭据即可获取额外的租户网络访问权限。新的恶意CTS策略可能会被攻击者分发,以启用“自动用户同意”和“入站同步”,即使移除了恶意账户也能够继续进入租户。尽管Azure AD CTS尚未出现实际利用,组织仍被建议加强其配置,避免使用默认的CTA配置,并限制云环境的访问。最近,BleepingComputer 报道指出,权限提升的攻击者可能利用最近推出的 Microsoft Azure Active Directory 跨租户同步功能进行横向移动,从而建立网络持久性。已经被入侵的租户可以检查其CTS配置,以发现允许“外发同步”的其他租户。攻击者随后可以将被妥协的用户添加到CTS同步应用的配置中,从而在不需要输入新用户凭据的情况下获得额外的租户网络访问权限。根据 Vectra 的报告,这一过程揭示了潜在的风险。
此外,攻击者可能还会分发新恶意的CTS策略,启用“自动用户同意”和“入站同步”,使得即便移除恶意账户依然可以获得租户访问权限。尽管目前在实际环境中尚未发现对Azure AD CTS的利用,专家们依然敦促组织加强其配置,避免依赖默认的CTA配置,并限制对云环境的访问。
通过加强安全配置,组织能够有效减少潜在的安全威胁。
海鸥加速器最新版2025
