微软的AzureActiveDirectory(AzureAD)是该公司首选的基于云的身份和访问管理服务(IAM),存在严重缺陷,使威胁行为者能够安装后门。
这是根据Secureworks反威胁部门(CTU)的广泛研究得出的结论,该部门表示,该问题还可能让黑客修改访问权限以绕过多因素身份验证并在没有适当日志记录的情况下阻止管理员访问,并收集有关策略配置的信息以启用未来的攻击。
AzureAD支持多种身份验证方法,而高级版本还支持条件访问策略(CAP),可根据不同的条件(例如设备合规性或用户位置)授予或阻止访问。IAM服务是存储这些设置的服务,允许通过门户、PowerShell或API调用修改CAP。
研究人员着手查看哪些API允许CAP设置编辑,并发现了三个。
三者之一称为AADGraph,是唯一允许用户修改所有CAP设置(包括元数据)的者。研究人员表示,这使得管理员可以篡改创建和修改时间戳等内容,并且考虑到使用AADGraph进行的修改未正确记录,AzureAD策略的完整性和不可否认性因此面临风险。
研究人员于2022年5月下旬与微软分享了他们的发现,微软在一个月后证实了这些发现,但表示这不是一个错误,而是一个功能。然而,一年后,微软通知CTU研究人员,它计划进行更改,以改进审核日志并限制通过AADGraph进行CAP更新。
Secureworks还强调,微软“多年来”一直试图弃用AADGraphAPI。目前,计划于2023年6月30日停用。Microsoft已删除公共AADGraphAPI文档。