2023 年 11 月,臺灣資安公司奧義智慧科技資安軟體工程師孫維崗 (Gary Sun) 在 2023 日本駭客年會 AVTokyo 上,發表了奧義智慧針對 Microsoft Entra ID 的研究成果:「從訪客帳戶到全域管理員權限:如何透過 Microsoft Entra ID P2 功能濫用 Azure IAM」(From Guest to Global Admin: Abuse Azure IAM with Microsoft Entra ID P2 Features)。
微軟在 2023 年底將 Azure AD 更名為 Microsoft Entra ID ,並擴展此身分和存取管理產品線。原先的 Azure AD 已是多數企業採用的身分識別與存取權管理 (Identity and Access Management,下稱IAM)辦法,Microsoft Entra ID 更提供了以身分識別治理 (Identity Governance) 概念出發、更細緻的身分識別與管理功能,試圖以 Identity Governance 生命週期的自動化管理,解決現存身分與存取權落差等議題。
Microsoft Entra ID 在操作上有什麼注意事項?奧義智慧研究團隊發現: Microsoft Entra ID 新功能有「被濫用提權進行攻擊」的風險,由於目前仍少有相關討論,此篇先期研究將聚焦分析其潛在攻擊路徑 (Attack Path) 與緩解措施 (Mitigation),在攻擊事件發生前未雨綢繆。
Microsoft Entra ID 是微軟新整合的雲端身份識別和訪問管理服務,提供更便捷的方式來管理員工、合作夥伴和客戶的身份。Microsoft Entra ID 可以與各種應用程式整合,包括微軟的 SaaS 應用程式、自訂的企業應用程式和其他雲端應用程式,同時也支援混合雲和多雲環境,讓組織得以整合地端 (on-premise) 帳號、應用程式和資源。
由於 Entra ID 涵蓋多種使用情境,其複雜性讓 IT 人員難以管理、不易根據業務情境分配適當的權限。根據微軟資訊安全團隊 2023 Microsoft State of Cloud Permissions 報告指出:僅有 5% 的權限有被實際使用,高達 50% 的身分可控制所有資源,此報告將這類身分比喻為超級管理員(Super Admin)。隨著時間演進和組織擴張,常會因為業務增加、人員流動等變數而賦予更多權限,在沒有定期審視哪些權限已經不再需要的狀況下,就會造成嚴重的存取權限落差(Permission Gap,如圖1)。
因此,利用可視化的工具盤點企業場域的帳號與權限至關重要。目前可盤點 Entra ID 的 IAM 工具有:AzureHound 與 StormSpotter,兩者皆可圖像化呈現 IAM,繪製出易懂的關聯圖讓使用者審視情況。
然而,AzureHound 與 StormSpotter 皆無法檢驗 Microsoft Entra ID 提供的身分管理方案、也無法用以發掘各功能潛在的風險,相關議題目前也鮮少研究。因此,奧義智慧研究團隊在盤點所有攻擊路徑後,發現 3 個可能被攻擊者利用提權進行攻擊的功能。
Entra ID Identity Governance 從公司 IT 管理人員角度出發,提供更多的身分管理功能和控制權,用以保護和管理組織的身份驗證與訪問管理,如:條件式存取 (Conditional Access)、特權身分管理 (Privileged Identity Management, PIM) 等。值得注意的是,Entra ID 與 Azure 雖然共用 Identity 設定,但在管理上是分開的,意即:Azure 角色管理 Azure 資源、Entra ID 角色則負責管理身分驗證平台。
奧義智慧在盤點所有與 IAM 直接相關、且可作為攻擊路徑的 Entra ID 功能後,發現共 3 個功能具有潛在風險:權限管理 (Entitlement Management)、管理單位 (Administrative Unit) 和角色指派 (Eligible Assignments)。這 3 個功能皆屬角色型存取控制 (Role-based Access Control,RBAC),管理方式是由角色定義權限、使用者被賦予的角色限定在特定範圍內,突顯了角色、資源與權限實為攻擊路徑上的重要節點。
Entitlement Management 讓使用者可以自動化請求工作流程及權限分配,藉以管理身分生命週期。在跨部門合作時,權限分配情況複雜,不同部門的人之間往往不知道具體權限分配狀況。因此,較常見的情境是:IT 管理員在不清楚其他部門人手分配的情況下,將部分的權限指派權利交給該部門主管,由部門主管決定誰可以存取哪些資源(圖2)。
在此功能中,我們發現資源的類別可以是 Group,當攻擊者成功控制 Catalog 或 Access Package 中含有高權限的 Group 時,便可透過此路徑進行提權,將受感染帳號新增為 Resource Role 以控制高權限 Group(圖3)。
Administrative Unit 讓使用者可以限制 Entra ID 角色作用在特定範圍內,成為容易被管理者忽略的權限之一。如圖 4所示,使用者具有 Group Admins 角色時、可作用在特定 Group 範圍內,在 Entra ID 中的預設範圍是 Tenant,可以透過此功能框出特定範圍。因此,攻擊者可以新增成員到 Group 中以獲取 Group 的權限,對這些 Group 進行操作。
Eligible Assignments 可以管理角色指派的生命週期,實現即時 (just-in-time, JIT) 權限分配。分配角色的當下,使用者沒有權限進行操作,必須在啟用後才可使用角色的權限(類似 Windows 上的「以管理者身分執行」或者是 Linux 上的 "sudo")。身分啟用角色權限時,會根據設定需要通過相關的驗證,並且留下紀錄。
然而,角色權限啟用時的驗證並不是此功能的預設設定(圖5),因此攻擊者可以事先查詢角色的設定,評估是否有機會進行提權,一方面提高攻擊行為成功率,另一方面也避免留下不必要的足跡。
奧義智慧研究員根據 Identity Governance 流程、描繪了駭客如何透過提權進行攻擊(圖6)。攻擊者初始控制具有 Catalog Owner 的帳號 (akua),因為該 Catalog 包含具有全域管理員 (Global Admin) 權限的 Group (Dead End),攻擊者便可新增 Resource Role,將此被入侵的帳號變成該 Group 的成員、藉此順利獲得全域管理員權限(詳細的高權限角色可參考下一段落)。
透過加強 API Permission 的權限管理,奧義智慧針對上述攻擊路徑提供了緩解措施,讓企業與各界使用者能超前部署。由於不同應用程式之間可以透過被授權的 API 權限進行操作、第三方和企業內部可藉此途徑存取權限,且這也是很常被攻擊者濫用的目標,盤點和確認 API Permission 是否合理便是基本卻有效的緩解方法之一。
國際資訊科技顧問公司 Gartner 於 2022 年底提出持續威脅暴露管理 (Continuous Threat Exposure Management, CTEM) 策略,結合商業價值與 IT 管理方式重新審視資安策略,是資安防禦機制典範轉移的濫觴。CTEM 策略強調關注場域內的「攻擊路徑」,在攻擊事件發生之前,預先思考和盤點可能被攻擊的任何路徑,透過時時演練和檢驗,達到真正的主動式防禦。
基於 CTEM 主動防禦精神,奧義智慧研究團隊針對 Microsoft Entra ID 的攻擊路徑研究,提醒使用者在擁抱新產品與新功能之前,應清楚了解該產品與服務的適用範圍和潛在風險,也提供具體可行的緩解措施,在攻擊者襲來之前便能事先修補好漏洞、建築好防禦工事。唯有知己知彼,方能百戰不殆。
Writer: Gary Sun
奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。