El diseño de Microsoft Entra permite a los usuarios invitados obtener control de Azure, afirman los investigadores

Los investigadores de ciberseguridad de BeyondTrust advierten sobre un problema poco conocido, pero peligroso, en la plataforma de identidad Entra de Microsoft . El problema no es un error oculto ni una vulnerabilidad pasada por alto; se trata de una característica, integrada en el sistema por diseño, que los atacantes pueden explotar.

El problema radica en que los usuarios invitados al inquilino de Azure de una organización pueden crear y transferir suscripciones dentro de ese inquilino sin tener privilegios de administrador directos. Al hacerlo, obtienen derechos de "Propietario" sobre esa suscripción, lo que abre un abanico sorprendente de oportunidades de ataque que muchos administradores de Azure quizá nunca hubieran considerado.

Las organizaciones suelen invitar a socios o colaboradores externos a sus entornos de Azure como "usuarios invitados". Normalmente, a estos invitados se les asigna acceso limitado para evitar daños si sus cuentas se ven comprometidas. Sin embargo, los hallazgos de BeyondTrust, compartidos con Hackread.com, revelan que, en determinadas circunstancias, estos invitados pueden activar suscripciones completas de Azure dentro del inquilino host, incluso sin permisos explícitos en ese entorno.

¿Cómo? Todo depende de los permisos de facturación de Microsoft. Si el invitado tiene roles de facturación específicos en su inquilino principal (por ejemplo, si creó una cuenta de prueba gratuita), puede usar esa autoridad para crear suscripciones y luego transferirlas a cualquier otro inquilino al que se le invite. De esta manera, se convierte en el "propietario" de esas suscripciones, obteniendo un amplio control sobre los recursos dentro del inquilino de destino.

Microsoft ha confirmado que este es el comportamiento previsto, señalando que estas suscripciones permanecen en la factura del invitado y que existen controles (aunque no predeterminados) para evitar dichas transferencias. Aun así, las implicaciones de seguridad son considerables.

Una vez que un invitado se convierte en propietario de una suscripción dentro de su inquilino de Azure, desbloquea varias capacidades avanzadas, entre las que se incluyen identificar quién está realmente a cargo, deshabilitar la supervisión de seguridad, crear puertas traseras persistentes y abusar de la confianza del dispositivo.

Estas rutas de ataque existen porque los roles de facturación y los permisos de recursos operan en vías separadas, lo que crea una superposición que no está cubierta por los modelos típicos de control de acceso basado en roles (RBAC).

Los investigadores de BeyondTrust demostraron cómo un atacante podría explotar este problema en la práctica. Un atacante podría empezar configurando su propio inquilino de Azure mediante una prueba gratuita, lo que le otorga automáticamente autorización de facturación.

Una vez que se les invita a un inquilino de destino, pueden iniciar sesión en Azure Portal y crear una nueva suscripción mediante la configuración avanzada, seleccionando el inquilino de destino como destino. Sin necesidad de la aprobación del administrador en ese inquilino, el atacante obtiene acceso total de propietario a la nueva suscripción, lo que facilita el abuso de privilegios.

La función que Microsoft ha creado aquí tiene sentido: algunas organizaciones tienen muchos inquilinos, y hay casos en los que los usuarios con un directorio principal necesitan crear suscripciones en otros en los que simplemente son invitados. El problema radica en el comportamiento predeterminado: si esta capacidad fuera opcional, es decir, se bloqueara la creación de suscripciones por defecto para los invitados, el riesgo se reduciría significativamente y esto no representaría un problema de seguridad.

Simon Maxwell-Stewart, ingeniero de datos sénior de BeyondTrust

Microsoft ha declarado que este es un comportamiento previsto, pensado para admitir configuraciones multiinquilino complejas donde los invitados a veces necesitan crear recursos. Ofrecen políticas de suscripción que pueden bloquear estas transferencias, pero estos controles están desactivados por defecto.

Para los equipos de ciberseguridad, esto significa que el riesgo permanece activo hasta que se tomen medidas concretas. BeyondTrust recomienda varias medidas clave para reducir la exposición, como habilitar políticas de suscripción que bloqueen las transferencias de invitados, auditar periódicamente las cuentas de invitados y eliminar las que no se utilicen o sean innecesarias.

Para evitar que los atacantes utilicen máquinas o dispositivos virtuales para realizar más ataques, supervise de cerca las suscripciones para detectar recursos inusuales o inesperados creados por invitados y revise con atención las reglas de grupo dinámicas y las políticas de confianza de los dispositivos.