Добавить в корзинуПозвонить
Найти в Дзене
Герман Геншин
20,3 тыс подписчиков

Невидимая угроза в вашем Entra: как гости получают полный контроль над подписками

7 мин
Приглашая гостей в ваш Entra ID, вы можете случайно открыть путь к серьёзной угрозе. В Microsoft Entra выявлена уязвимость, позволяющая гостевым пользователям создавать и переносить подписки в тот арендатор, куда они приглашены, сохраняя полный контроль над этими подписками. Достаточно, чтобы гость имел права создавать подписки в своём домашнем арендаторе и был приглашён в качестве гостя в чужой. После этого он сможет создавать подписки у себя, переносить их в чужой арендатор и оставаться их владельцем. Этот незаметный способ эскалации привилегий даёт гостю неоправданно высокий уровень доступа вместо ограниченного. Многие организации считают гостевые аккаунты безопасными из-за ограниченного и временного доступа, но на самом деле такое поведение открывает дыры для атак и перемещений внутри арендатора. Злоумышленник может незаметно собирать данные и закрепляться в Entra ID вашей компании, постоянно повышая уровень своих прав. Стандартные модели угроз и рекомендации по безопасности не уч
Оглавление

Приглашая гостей в ваш Entra ID, вы можете случайно открыть путь к серьёзной угрозе.

В Microsoft Entra выявлена уязвимость, позволяющая гостевым пользователям создавать и переносить подписки в тот арендатор, куда они приглашены, сохраняя полный контроль над этими подписками.

Достаточно, чтобы гость имел права создавать подписки в своём домашнем арендаторе и был приглашён в качестве гостя в чужой. После этого он сможет создавать подписки у себя, переносить их в чужой арендатор и оставаться их владельцем. Этот незаметный способ эскалации привилегий даёт гостю неоправданно высокий уровень доступа вместо ограниченного.

Многие организации считают гостевые аккаунты безопасными из-за ограниченного и временного доступа, но на самом деле такое поведение открывает дыры для атак и перемещений внутри арендатора. Злоумышленник может незаметно собирать данные и закрепляться в Entra ID вашей компании, постоянно повышая уровень своих прав.

Стандартные модели угроз и рекомендации по безопасности не учитывают, что непривилегированный гость может создать подписку прямо в вашем арендаторе. Поэтому эту уязвимость часто пропускают службы безопасности и ИТ-подразделения.

Как злоумышленник может захватить ваш Entra ID через гостевой аккаунт

Эксплуатация подписок, создаваемых гостями, основана на том, что права по управлению выставлением счетов в Microsoft (Enterprise Agreement или Microsoft Customer Agreement) работают на уровне учётной записи биллинга, а не в каталоге Entra. Большинство специалистов по безопасности концентрируется на ролях управления внутри Entra Directory (например, Global Administrator) или Azure RBAC (например, Owner), упуская из виду именно роли выставления счетов.

В то время как роли Entra Directory и Azure RBAC контролируют доступ к ресурсам и пользователям, роли биллинга работают на уровне учётной записи, выходящем за привычные рамки аутентификации и авторизации Azure. Пользователь с нужной ролью в биллинге может создавать или переносить подписки из своего домашнего арендатора в чужой, при этом стандартные проверки ролей Entra не отображают таких подписок.

Когда B2B-гость приглашается в ресурсный арендатор, он входит через федерацию со своим домашним арендатором — это экономит расходы, но лишает ваш арендатор возможности контролировать вход при помощи MFA и других методов безопасности. В итоге даже гости с минимальными привилегиями могут расширять свои права, если у них есть права на управление биллингом у себя дома.

Это касается и гостевых аккаунтов в Azure по модели pay-as-you-go, которые злоумышленник может быстро создать самостоятельно. К тому же, по умолчанию любой пользователь, включая гостей, может приглашать новых гостей в каталог, что позволяет злоумышленникам использовать скомпрометированные аккаунты для массового внедрения пользователей с правами биллинга.

Как злоумышленник получает повышенный доступ через неприглядный гостевой аккаунт

  1. Злоумышленник захватывает пользователя с правами биллинга, способного создавать подписки или владеющего ими в арендаторе, например:Создаёт собственный арендатор Entra через бесплатный пробный период Azure, будучи владельцем учётной записи биллинга
    Или взламывает существующего пользователя с такими правами
  2. Получает приглашение стать гостем в целевом арендаторе Entra (по умолчанию любой может приглашать гостей).
  3. Заходит в Azure Portal и переключается в домашний арендатор, где у него полный контроль.
  4. Переходит в раздел подписок и нажимает «Добавить».
  5. На вкладке «Дополнительно» указывает целевой арендатор защиты в качестве точки назначения.
  6. Создаёт подписку, которая не появляется в домашнем арендаторе, а зачисляется в защищённый арендатор под главной менеджерской учеткой.
  7. Автоматически становится «Владельцем» этой подписки.

Что на практике может сделать гость с новой подпиской

Получив права владельца подписки в чужом арендаторе, злоумышленник получает возможности, которые обычно для него закрыты, например:

  • Просмотр администраторов на корневом уровне управления. Во многих настройках гости не видят пользователей арендатора, но созданная подписка раскрывает список Access Control ролей, включая администраторов на самом верху — основных целей нападений и социальной инженерии.
  • Ослабление ключевых политик безопасности Azure, связанных с подпиской. Эти политики обеспечивают защиту и создают оповещения при нарушениях, но владелец подписки-гость может их менять или отключать, скрывая вредоносную активность от мониторинга.
  • Создание User-Managed Identity в Entra ID. Это специальная учётная запись Azure в каталоге, привязанная к облачным нагрузкам:Сохраняется независимо от гостевого аккаунта;
    Имеет расширенные роли и права;
    Похожа на легитимные сервисные идентичности, что затрудняет её обнаружение;
    Может использоваться для фишинга и получения прав от администраторов.
  • Регистрация устройств, присоединённых к Entra, и обход политики условного доступа. Злоумышленник регистрирует устройства в захваченной подписке как корпоративные, на которые настроены динамические группы с автоматическим назначением прав. Это позволяет обходить защитные политики и получать несанкционированный доступ к ресурсам, используя уязвимости динамических групп.

Почему подписки, создаваемые гостями, становятся всё более серьёзной угрозой

Хотя требуется больше исследований, уже ясно: любой гость, подключённый через федерацию, потенциально может получить повышенные права — это не теория, а реальность. Злоумышленники активно используют этот путь. Опасность в том, что подобные действия чаще всего остаются вне поля зрения большинства служб безопасности.

Многие администраторы Azure не подозревают, что гости способны создавать и управлять подписками, поэтому этот метод атаки часто отсутствует в стандартных моделях угроз Entra и остаётся недооценённым и доступным.

Этот сценарий распространён в B2B-средах, где домашний и ресурсный арендаторы принадлежат разным организациям. Многие компании, применяющие B2B-гостевой доступ в Entra ID, не осознают, какие возможности для повышения прав они случайно открывают.

Как защититься: предотвращаем захват подписок гостями

Чтобы ограничить такие риски, Microsoft позволяет настраивать политики подписок, запрещающие гостям переносить подписки в ваш арендатор. Эта настройка разрешает создавать подписки только специально выбранным пользователям, и Microsoft предлагает подробные инструкции по её внедрению.

Также рекомендуются следующие меры:

  1. Проверьте всех гостей в вашей среде и удалите неактивных.
  2. Ужесточите контроль за гостями, например, запретите гостям приглашать других гостей.
  3. Регулярно проверяйте подписки на предмет неожиданных гостевых подписок и связанных с ними ресурсов.
  4. Следите за всеми оповещениями из Security Center в Azure Portal, даже если охват данных ограничен.
  5. Проводите аудит доступа устройств, особенно если используются правила динамических групп.

Для поддержки специалистов по безопасности BeyondTrust Identity Security Insights предлагает автоматическое обнаружение подписок, созданных гостями, давая полный обзор нестандартных действий.

Пользователи BeyondTrust Identity Security Insights получают сквозной обзор всех идентичностей в инфраструктуре, включая точное понимание гостевых аккаунтов Entra и их реального уровня доступа.

Общая картина: ошибки в настройках идентификаций — новые лазейки для злоумышленников

Создание подписок гостями — не исключение, а симптом множества ошибок в конфигурации безопасности, которые могут пошатнуть всю инфраструктуру. Неправильные настройки и слабые стандарты — любимые точки входа для злоумышленников, ищущих скрытые пути доступа.

Сегодня внимание уделяется не только администраторским аккаунтам, но и моделям доверия B2B, наследованию прав биллинга и динамическим ролям — любой аккаунт может стать стартовой площадкой для повышения привилегий. Пересмотрите сейчас свои политики гостевого доступа, средства мониторинга и правила контроля подписок, прежде чем «Опасные гости» воспользуются вашими упущениями.

Для быстрой оценки рисков в области идентификации, включая проблемы, связанные с гостевым доступом, BeyondTrust предлагает бесплатную оценку Identity Security Risk Assessment.

Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!

Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь

Также подписывайтесь на нас в: