微软Azure AD跨租户同步功能的安全隐患

关键要点

最近，BleepingComputer 报道指出，权限提升的攻击者可能利用最近推出的 Microsoft Azure Active Directory 跨租户同步功能进行横向移动，从而建立网络持久性。已经被入侵的租户可以检查其CTS配置，以发现允许“外发同步”的其他租户。攻击者随后可以将被妥协的用户添加到CTS同步应用的配置中，从而在不需要输入新用户凭据的情况下获得额外的租户网络访问权限。根据 Vectra 的报告，这一过程揭示了潜在的风险。

此外，攻击者可能还会分发新恶意的CTS策略，启用“自动用户同意”和“入站同步”，使得即便移除恶意账户依然可以获得租户访问权限。尽管目前在实际环境中尚未发现对Azure AD CTS的利用，专家们依然敦促组织加强其配置，避免依赖默认的CTA配置，并限制对云环境的访问。

通过加强安全配置，组织能够有效减少潜在的安全威胁。