Bedrohungen durch Gastbenutzer in Microsoft Entra

Die unbemerkte Entra-Schwachstelle

Das Einladen externer Gastbenutzer in Azure ist eine gängige Vorgehensweise bei der Zusammenarbeit mit externen Partnern. Die Gastkonten verfügen in der Regel über eingeschränkte Berechtigungen, aber entziehen sich der direkten Kontrolle einer Organisation. Azure-Administratoren sehen nicht, wenn die privilegierten Gäste neue Abonnements in fremden Mandanten erstellen oder übernehmen.

Grundlagen von Azure und Entra ID

Die Grundlagen von Entra und Azure-Berechtigungen sind gut dokumentiert. Entra ID ist ein Identitätsanbieter (IdP) in Azure. Digitale Identitäten lassen sich verschiedenen Verzeichnisrollen zuweisen, um beispielsweise als „Global Administrator“ unterschiedliche Verzeichniseinstellungen vorzunehmen.

Abbildung 1: EntraID-Basisberechtigungsmodell

Azure-Ressourcen werden Abonnements zugeordnet und Entra-Benutzern zur Verwaltung über RBAC-Rollen zugewiesen.

Abbildung 2: Azure-Ressourcen-Basisberechtigungsmodell

Allerdings gibt es weniger bekannte Berechtigungen, welche die Abrechnungsverwaltung und die Abonnementerstellung betreffen. Zur Durchsetzung von Best Practices beim Sperren der Entra ID oder bei der Einschränkung von Azure-Bedrohungen liegt der Schwerpunkt auf den administrativen und nicht abrechnungsbezogenen Berechtigungen — insbesondere bei externen Gastkonten.

Abrechnungsverwaltung

Microsoft bietet mehrere Azure-Abonnements. Wir konzentrieren uns auf die Unternehmensvereinbarung (Enterprise Agreement, EA) und Microsoft-Kundenvereinbarung (Microsoft Customer Agreement, MCA). Eine Unternehmensvereinbarung richtet sich als Dreijahresvertrag an kommerzielle Organisationen beim Kauf von Microsoft-Produkten und -Diensten. Mehrere Lizenzverträge lassen sich unter einem Konto abdecken und Azure-Abonnements erstellen, steuern oder abrechnen.

Entscheidend ist, dass eine nutzungsbasierte Lizenzierung auch unter einer Adhoc-MCA anfällt. Daraus folgt allerdings auch, dass ein Azure Tenant und das betreffende Abonnement dazu verwendet werden können, Fehlkonfigurationen zu missbrauchen.

Enterprise Agreement

Eine Unternehmensvereinbarung (EA) umfasst die Registrierung und die Vereinbarung mit Microsoft und den gewählten Optionen für einzelne Abteilungen. Diese können Konten enthalten, über die Abonnements letztendlich abgerechnet werden.

Abrechnungsberechtigungsmodell für Unternehmensverträge

Azure Enterprise Agreement-Rollen — EA-Abrechnungsrollen können nur einzelnen Benutzerkonten zugewiesen werden. Ein großer Prozentsatz der Abrechnungsrollen kann Abonnements erstellen, wie unten dargestellt:

Abrechnungsrolle	Zusammenfassung	Möglichkeit zur Abonnementerstellung
Enterprise Administrator	Ansicht und Verwaltung aller EA-Aspekte	Ja
EA-Käufer	Erwerb von Azure-Diensten, aber keine Kontenverwaltung	Nien
Department Administrator	Ansicht und Verwaltung auf Abteilungsebene und Hinzufügen von Konteninhabern	Ansicht und Verwaltung auf Abteilungsebene und Hinzufügen von Konteninhabern
Konteninhaber	Erstellung, Ansicht und Verwaltung von Abonnements	Ja

Microsoft-Kundenvereinbarung

Bei den Kontotypen sind Unternehmensvereinbarungen (Enterprise Agreement, EA) und Microsoft-Kundenvereinbarungen (Microsoft Customer Agreement, MCA) zu unterscheiden. Ein MCA kann mehrere Abrechnungsprofile enthalten, wofür Kreditkartendaten bei den unterschiedlichen Profilen hinterlegt werden. Die Datei zu detaillierter Nutzung und Gebühren enthält die tägliche bewertete Nutzung basierend auf vereinbarten Tarifen, Einkäufen (z.B. Reservierungen, Marketplace-Gebühren) und Rückerstattungen für den angegebenen Zeitraum.

Abbildung 4: Abrechnungsberechtigungsmodell für Microsoft-Kundenverträge

Azure Microsoft Customer Agreement-Rollen im Überblick — ein größerer Prozentsatz der Abrechnungsrollen kann Abonnements erstellen, wie unten dargestellt:

Abrechnungsrolle	Zusammenfassung	Möglichkeit zur Abonnementerstellung
Billing Account Owner	Verwaltung des gesamten Abrechnungskontos	Ja
Billing Account Contributor	Verwaltung bis auf Berechtigungen für Abrechnungskonto	Ja
Billing Account Reader	Leserechte für gesamtes Abrechnungskonto	Nein
Billing Profile Owner	Verwaltung des gesamten Abrechnungsprofils	Ja
Billing Profile Contributor	Verwaltung bis auf Berechtigungen für Abrechnungsprofil	Ja
Billing Profile Reader	Leserechte für gesamtes Abrechnungsprofil	Nein
Invoice Manager	Leserechte und Bezahlung von Abrechnungsprofil-Rechnungen	Nein
Invoice Section Owner	Verwaltung des gesamten Rechnungsbereichs	Ja
Invoice Section Contributor	Verwaltung bis auf Berechtigungen im Rechnungsbereich	Ja
Invoice Section Reader	Leserechte für Rechnungsbereich	Nein
Azure Subscription Creator	Erstellung von Azure-Abonnements	Ja

Abrechnungsberechtigungen

Gastbenutzern lassen sich höhere Berechtigungen wie bei Mitgliedsbenutzern einräumen. Bei überlappenden Berechtigungsmodellen hat das unabsehbare Folgen. So wäre es mit entsprechender Abrechnungsprofilrolle möglich, als Gast neue Abonnements in JEDEM Zielmandanten anzulegen. Zwar gibt es Steuerelemente, die ein solches Verhalten verhindern, aber leider ist das nicht standardmäßig voreingestellt.

BeyondTrust-Sicherheitsforscher haben überprüft, dass Gastbenutzer als „Billing Owner“ in der Lage sind, angelegte Abonnements in einen zugeordneten Abrechnungsmandanten zu verschieben und den Abrechnungsbesitz zu behalten. Wird also ein externes Gastkonto in den Entra-Mandanten einer Organisation eingeladen (und verfügt dieses Konto über eine EA- oder MCA-Abrechnungsrolle, bzw. ein Abonnement für den Heimmandanten), können Abonnements in den Zielmandanten übertragen werden. Dies gilt auch für externe Gastbenutzer, die im Azure-Mandanten mit nutzungsbasierter Bezahlung hinterlegt sind und von einem Angreifer in wenigen Minuten hochgefahren werden kann.

Abwehr und Schutzmaßnahmen

BeyondTrust-Untersuchungen zeigen, dass Angreifer die Erstellung von gastbasierten Abonnements in freier Wildbahn bereits aktiv missbrauchen.

Proaktive Abwehrmaßnahmen sind daher dringendst erforderlich. Microsoft ermöglicht Organisationen eine Neukonfiguration der Abonnementrichtlinien, damit Gastbenutzer daran gehindert werden, Abonnements in ihren Mandanten zu übertragen. Diese Einstellung beschränkt die Erstellung von Abonnements auf ausdrücklich berechtigte Benutzer. Eine weiterführende Dokumentation dazu liegt von Microsoft vor.

Zusätzliche Maßnahmen zur Umsetzung der Sicherheitsrichtlinie:

Überwachung aller Gastkonten in Ihrer Umgebung und Entfernung der nicht mehr benötigten Konten.
Härtung der Gaststeuerelemente und Deaktivierung von Gast-zu-Gast-Einladungen
Regelmäßige Kontrolle aller Abonnements eines Mandanten, um nicht richtlinienkonforme Abonnements und Ressourcen zu erkennen
Überwachung aller Security-Center-Warnungen im Azure-Portal
Kontrolle der Gerätezugriffe, insbesondere beim Einsatz dynamischer Gruppenregeln

Abbildung 8: Das Security Center warnt davor, dass Gastkonten über Besitzerberechtigungen für Azure-Ressourcen verfügen

Zur Unterstützung der Sicherheitsmaßnahmen bietet BeyondTrust Identity Security Insights integrierte Erkennungsfunktionen, um von Gastkonten erstellte Abonnements zu kennzeichnen und einen automatisierten Einblick in ungewöhnliche Verhaltensweisen zu bekommen.

Der umfassende Überblick über potenzielle Identity-Security-Risiken in einer Umgebung beinhaltet auch eine Analyse der Gastzugriffe und ihrer Auswirkungen. Deshalb bietet BeyondTrust mit „Identity Security Risk Assessment“ einen kostenfreien Service zur Bewertung der Identitätssicherheitslage im Unternehmen an.

Kunden von BeyondTrust Identity Security Insights erhalten einen ganzheitlichen Überblick über alle Identitäten in ihrer gesamten Identitätsstruktur. Dazu gehört auch das Erlangen eines konsolidierten Verständnisses von Entra-Gastkonten und deren True Privilege™. Wir empfehlen Kunden von Insights dringend, Gastkonten mit hohen Rechten regelmäßig zu überprüfen.

Abbildung 9: Insights-Kontenfilter für privilegierte Entra ID-Gastkonten

Zusammenfassung

BeyondTrust untersucht, wie weit die Auswirkungen gerätebasierter Angriffe reichen und ob diese Techniken mit anderen Diensten wie Intune interagieren oder mehrstufige Angriffe die Gastberechtigungen weiter eskalieren könnten. Für einen wirkungsvollen Schutz ist es wichtig, sowohl das Standardverhalten als auch die Einschränkungen der verfügbaren Steuerelemente zum Schutz vor Missbrauchsszenarien vollständig zu verstehen.

Schon jetzt ist klar: Jedes Gastkonto, das mit einem Mandanten verbunden ist, kann zur Erlangung weiterer Berechtigungen genutzt werden. Dabei handelt es sich nicht um ein theoretisches Szenario. Die Risiken sind real, und sie werden aktiv und weitestgehend unbemerkt ausgenutzt.

Wir vermuten, dass sich viele Organisationen bei einer Nutzung der B2B-Gastfunktionen von Entra ID nicht über mögliche Angriffswege auf Privilegien im Klaren sind. Es ist also höchste Zeit, die Richtlinien für den Gastzugriff, sowie Visibilitäts-Tools und Abonnement-Governance-Modelle anzupassen, bevor unerwünschte Gastbenutzer auf den Plan treten.