02/06/25
Под угрозой оказываются так называемые гостевые пользователи, которых обычно приглашают для совместной работы с минимальным набором разрешений. Но даже такие «гости» могут незаметно создавать и управлять подписками Azure в организациях, где не обладают никакими административными возможностями. Всё дело в особенностях стандартных настроек Microsoft: если вручную не ограничить соответствующие опции, у злоумышленников появляется возможность закрепиться в чужой инфраструктуре, провести разведку и даже получить расширенный доступ к ценным ресурсам.
Суть уязвимости — в специфике работы ролей, связанных с оплатой и управлением подписками в Azure, особенно в рамках Enterprise Agreement и Microsoft Customer Agreement, а также при обычной оплате по факту использования, указывает Securitylab. Роли, вроде владельца учётной записи или создателя подписки, обычно выдаются только в своём домашнем облаке, но позволяют переносить или создавать новые подписки в других организациях, где у пользователя есть статус гостя.
На практике атака выглядит так: злоумышленник заводит бесплатный пробный тенант Azure, присваивает себе подходящую роль, принимает приглашение в целевую организацию в статусе гостя и уже оттуда запускает создание подписки, которой полностью управляет. Дальше его возможности расширяются — он становится владельцем полноценной облачной инфраструктуры внутри чужой компании, обходя стандартные ограничения гостевых учётных записей.
Эта особенность признана Microsoft как штатное поведение и объясняется поддержкой коллаборации между разными организациями. Но отсутствие ограничений по умолчанию приводит к тому, что злоумышленники могут использовать «лазейку» для закрепления и дальнейшего повышения прав. После создания подписки атакующий получает возможность просматривать список администраторов на уровне корневых групп управления, то есть видеть, кто реально контролирует ключевые ресурсы компании, и нацелиться на наиболее ценные учётные записи.
К тому же, можно ослаблять политики безопасности, связанные с подпиской, и создавать управляемые идентичности внутри общей директории Entra ID для обеспечения долговременного доступа. Дополнительно, при регистрации виртуальных машин и других устройств в целевом тенанте появляется риск обхода политик условного доступа и манипуляций с групповыми динамическими правилами.
