Mantén tu Directorio Activo de Azure Protegido
Siempre que hablamos de ciberseguridad pensamos en los servidores que tenemos alojados en nuestra empresa y nos preocupamos sobre su exposición al exterior y el impacto que podría tener el compromiso de cualquier recurso de nuestra red. Sin embargo, son ya muchas las empresas que utilizan servicios en la nube o sistemas híbridos para desplegar su infraestructura.
Hoy venimos a hablar de Azure, y cuales son algunos de los puntos de entrada que explotan algunos atacantes para comprometer una organización y también daremos algunas recomendaciones básicas de seguridad.
Vectores de Entrada hacia Azure AD
Aplicaciones Vulnerables + Managed Identities:
En muchas ocasiones se utiliza Azure para exponer aplicaciones antiguas y añadirles una capa de seguridad, sin embargo, una aplicación con vulnerabilidades no deja de tenerlas por el mero hecho de subirla a la nube. En este caso, cuando se despliega una aplicación en Azure, se le asocia una Managed Identity, es decir, una cuenta de Azure que será utilizada por la aplicación y a la que se le asignarán permisos necesarios para acceder a diferentes recursos como bases de datos o Key Vaults dentro de la organización.
En el caso de que un atacante logre explotar una vulnerabilidad de tipo RCE o SSRF en la aplicación, podría ser capaz de obtener el Access token de la Managed Identity, pudiendo así llegar a impersonar a esta cuenta y utilizarla para acceder a la organización y a sus recursos, siendo además que este tipo de cuentas al no estar pensadas para ser utilizadas por una persona, no cuentan con MFA.
- Analizar y mitigar vulnerabilidades en las aplicaciones expuestas.
- Limitar al máximo los permisos de las Managed Identities.
- Monitorizar las acciones de las Managed Identities para detectar cualquier acción que difiera de su uso esperado.
Azure Blobs Expuestos:
- Concienciar a los empleados para que no almacenen información sensible en estos recursos y que administren correctamente los permisos.
- Revisar con frecuencia los blobs públicos para asegurarse que ninguno esté público.
- Limitar tiempo de duración de enlaces a blobs.
Ausencia de MFA + Leaks:
- Investigar de manera continua información expuesta de la organización con el fin de detectar credenciales comprometidas para poder cambiarlas.
- Establecer MFA obligatorio para todas las cuentas.
- Implementar controles en el Conditional Access Policy para restringir el acceso al dominio de Azure solo desde ubicaciones permitidas.
Phishing:
- Concienciar a los empleados ante estas y otras técnicas de phishing para que aprendan a reconocerlas y a evitarlas.
- Limitar lo máximo posible los permisos de los usuarios en el dominio de Azure.
Persistencia mediante invitación de usuarios:
Powered by WPeMatico