Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Уязвимость в настройках по умолчанию позволяет злоумышленникам получить контроль над Microsoft Azure

02/06/25

hack34-Jun-02-2025-11-24-58-3366-AM

Под угрозой оказываются так называемые гостевые пользователи, которых обычно приглашают для совместной работы с минимальным набором разрешений. Но даже такие «гости» могут незаметно создавать и управлять подписками Azure в организациях, где не обладают никакими административными возможностями. Всё дело в особенностях стандартных настроек Microsoft: если вручную не ограничить соответствующие опции, у злоумышленников появляется возможность закрепиться в чужой инфраструктуре, провести разведку и даже получить расширенный доступ к ценным ресурсам.

Суть уязвимости — в специфике работы ролей, связанных с оплатой и управлением подписками в Azure, особенно в рамках Enterprise Agreement и Microsoft Customer Agreement, а также при обычной оплате по факту использования, указывает Securitylab. Роли, вроде владельца учётной записи или создателя подписки, обычно выдаются только в своём домашнем облаке, но позволяют переносить или создавать новые подписки в других организациях, где у пользователя есть статус гостя.

На практике атака выглядит так: злоумышленник заводит бесплатный пробный тенант Azure, присваивает себе подходящую роль, принимает приглашение в целевую организацию в статусе гостя и уже оттуда запускает создание подписки, которой полностью управляет. Дальше его возможности расширяются — он становится владельцем полноценной облачной инфраструктуры внутри чужой компании, обходя стандартные ограничения гостевых учётных записей.

Эта особенность признана Microsoft как штатное поведение и объясняется поддержкой коллаборации между разными организациями. Но отсутствие ограничений по умолчанию приводит к тому, что злоумышленники могут использовать «лазейку» для закрепления и дальнейшего повышения прав. После создания подписки атакующий получает возможность просматривать список администраторов на уровне корневых групп управления, то есть видеть, кто реально контролирует ключевые ресурсы компании, и нацелиться на наиболее ценные учётные записи.

К тому же, можно ослаблять политики безопасности, связанные с подпиской, и создавать управляемые идентичности внутри общей директории Entra ID для обеспечения долговременного доступа. Дополнительно, при регистрации виртуальных машин и других устройств в целевом тенанте появляется риск обхода политик условного доступа и манипуляций с групповыми динамическими правилами.

Темы:УгрозыMicrosoft AzureBeyondTrust
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...