Гость с ключами от сервера: как получить контроль над Azure, не имея админских прав
NewsMakerДаже минимальные полномочия открывают путь к захвату облака. И Microsoft не считает это проблемой.
В последние дни в индустрии облачной безопасности обсуждается свежий отчёт BeyondTrust — его выводы рисуют крайне тревожную картину для компаний, использующих Microsoft Entra ID и инфраструктуру Azure . Эксперты разоблачили уязвимость , которая позволяет злоумышленникам использовать малоизвестные роли, связанные с выставлением счетов, чтобы получать контроль и повышать свои права внутри чужих облачных окружений.
Под угрозой оказываются так называемые гостевые пользователи, которых обычно приглашают для совместной работы с минимальным набором разрешений. Но даже такие «гости» могут незаметно создавать и управлять подписками Azure в организациях, где не обладают никакими административными возможностями. Всё дело в особенностях стандартных настроек Microsoft: если вручную не ограничить соответствующие опции, у злоумышленников появляется возможность закрепиться в чужой инфраструктуре, провести разведку и даже получить расширенный доступ к ценным ресурсам.
Суть уязвимости — в специфике работы ролей, связанных с оплатой и управлением подписками в Azure, особенно в рамках Enterprise Agreement и Microsoft Customer Agreement, а также при обычной оплате по факту использования. Роли, вроде владельца учётной записи или создателя подписки, обычно выдаются только в своём домашнем облаке, но позволяют переносить или создавать новые подписки в других организациях, где у пользователя есть статус гостя.
На практике атака выглядит так: злоумышленник заводит бесплатный пробный тенант Azure, присваивает себе подходящую роль, принимает приглашение в целевую организацию в статусе гостя и уже оттуда запускает создание подписки, которой полностью управляет. Дальше его возможности расширяются — он становится владельцем полноценной облачной инфраструктуры внутри чужой компании, обходя стандартные ограничения гостевых учётных записей.
Эта особенность признана Microsoft как штатное поведение и объясняется поддержкой коллаборации между разными организациями. Но отсутствие ограничений по умолчанию приводит к тому, что злоумышленники могут использовать «лазейку» для закрепления и дальнейшего повышения прав. После создания подписки атакующий получает возможность просматривать список администраторов на уровне корневых групп управления, то есть видеть, кто реально контролирует ключевые ресурсы компании, и нацелиться на наиболее ценные учётные записи.
К тому же, можно ослаблять политики безопасности, связанные с подпиской, и создавать управляемые идентичности внутри общей директории Entra ID для обеспечения долговременного доступа. Дополнительно, при регистрации виртуальных машин и других устройств в целевом тенанте появляется риск обхода политик условного доступа и манипуляций с групповыми динамическими правилами.
Для Azure-администраторов это создаёт неочевидный, но крайне опасный сценарий: мало кто включает управление ролями, связанными с оплатой, в свою модель угроз. BeyondTrust советует немедленно пересмотреть политики управления гостями, жёстко ограничить возможности переноса и создания подписок, а также отслеживать все подозрительные действия, связанные с появлением новых гостевых подписок. Отдельно рекомендуется использовать специализированные инструменты для анализа рисков и мониторинга активности гостей.
Этот случай наглядно демонстрирует, насколько важно не полагаться на стандартные настройки Microsoft Entra ID, а проактивно устранять слепые зоны в архитектуре облачной безопасности. При первых признаках активности «беспокойных гостей» критически важно реагировать немедленно, чтобы не столкнуться с полной потерей контроля над частью корпоративной инфраструктуры.
В последние дни в индустрии облачной безопасности обсуждается свежий отчёт BeyondTrust — его выводы рисуют крайне тревожную картину для компаний, использующих Microsoft Entra ID и инфраструктуру Azure . Эксперты разоблачили уязвимость , которая позволяет злоумышленникам использовать малоизвестные роли, связанные с выставлением счетов, чтобы получать контроль и повышать свои права внутри чужих облачных окружений.
Под угрозой оказываются так называемые гостевые пользователи, которых обычно приглашают для совместной работы с минимальным набором разрешений. Но даже такие «гости» могут незаметно создавать и управлять подписками Azure в организациях, где не обладают никакими административными возможностями. Всё дело в особенностях стандартных настроек Microsoft: если вручную не ограничить соответствующие опции, у злоумышленников появляется возможность закрепиться в чужой инфраструктуре, провести разведку и даже получить расширенный доступ к ценным ресурсам.
Суть уязвимости — в специфике работы ролей, связанных с оплатой и управлением подписками в Azure, особенно в рамках Enterprise Agreement и Microsoft Customer Agreement, а также при обычной оплате по факту использования. Роли, вроде владельца учётной записи или создателя подписки, обычно выдаются только в своём домашнем облаке, но позволяют переносить или создавать новые подписки в других организациях, где у пользователя есть статус гостя.
На практике атака выглядит так: злоумышленник заводит бесплатный пробный тенант Azure, присваивает себе подходящую роль, принимает приглашение в целевую организацию в статусе гостя и уже оттуда запускает создание подписки, которой полностью управляет. Дальше его возможности расширяются — он становится владельцем полноценной облачной инфраструктуры внутри чужой компании, обходя стандартные ограничения гостевых учётных записей.
Эта особенность признана Microsoft как штатное поведение и объясняется поддержкой коллаборации между разными организациями. Но отсутствие ограничений по умолчанию приводит к тому, что злоумышленники могут использовать «лазейку» для закрепления и дальнейшего повышения прав. После создания подписки атакующий получает возможность просматривать список администраторов на уровне корневых групп управления, то есть видеть, кто реально контролирует ключевые ресурсы компании, и нацелиться на наиболее ценные учётные записи.
К тому же, можно ослаблять политики безопасности, связанные с подпиской, и создавать управляемые идентичности внутри общей директории Entra ID для обеспечения долговременного доступа. Дополнительно, при регистрации виртуальных машин и других устройств в целевом тенанте появляется риск обхода политик условного доступа и манипуляций с групповыми динамическими правилами.
Для Azure-администраторов это создаёт неочевидный, но крайне опасный сценарий: мало кто включает управление ролями, связанными с оплатой, в свою модель угроз. BeyondTrust советует немедленно пересмотреть политики управления гостями, жёстко ограничить возможности переноса и создания подписок, а также отслеживать все подозрительные действия, связанные с появлением новых гостевых подписок. Отдельно рекомендуется использовать специализированные инструменты для анализа рисков и мониторинга активности гостей.
Этот случай наглядно демонстрирует, насколько важно не полагаться на стандартные настройки Microsoft Entra ID, а проактивно устранять слепые зоны в архитектуре облачной безопасности. При первых признаках активности «беспокойных гостей» критически важно реагировать немедленно, чтобы не столкнуться с полной потерей контроля над частью корпоративной инфраструктуры.