• Jitka Marešová
• 16 července, 2025
• Žádné komentáře

Guest účty jsou všeobecně považovány za nízkorizikové, protože mají omezená práva. To je však velký omyl. V Microsoft Entra ID takový účet může pomocí běžně dostupných funkcí získat plný vlastnický přístup k předplatnému ve vašem tenantovi.

Jak je to možné? Oprávnění k vytváření předplatných se totiž neřídí rolemi v Entra ID, ale spravují se na úrovni billing účtu. Útočníkovi tedy stačí, aby měl oprávnění vytvářet předplatné ve svém vlastním tenantovi a přijmout pozvánku jako guest do vašeho tenanta. Pozvánku mu navíc může poslat i jiný guest.

Útočník se pak přihlásí do Azure Portálu svého původního tenanta, který má plně pod kontrolou, vytvoří nové předplatné a jako cílový tenant zvolí ten váš. Předplatné se objeví ve vašem tenantovi pod root management skupinou a útočník je jeho vlastníkem (má přidělenou roli „owner“).

Co všechno pak útočník může s tímto novým předplatným dokázat?
 – Získat přehled o všech administrátorských uživatelích – může si zobrazit role přidělené na úrovni root management group a tím odhalit cíle pro další útok nebo sociální inženýrství.
 – Upravovat nebo vypínat bezpečnostní politiky – tím se vyhne hledáčku radarů bezpečnostních nástrojů a může provádět škodlivé akce bez povšimnutí.
 –  Vytvořit User-Managed identitu – speciální identitu, která je provázaná do cloudu a která zůstane aktivní i po odebrání guest účtu.
 – Registrovat zařízení – ta se pak v cílovém tenantovi tváří jako důvěryhodná firemní zařízení.

Podle výzkumníků z BeyondTrust útočníci guest předplatné hojně využívají. Jak se můžeme bránit? Především je dobré provádět pravidelný audit všech guest účtů a odstranit ty, které již nejsou potřeba. Zakažte, aby guest uživatelé mohli zvát další guesty. Dále doporučujeme samozřejmě monitorovat všechna předplatná ve vašem tenantovi a hledat ta vytvořená guesty. Sledujte upozornění v Azure Portálu a provádějte audit přístupu zařízení, zejména pokud používáte dynamická pravidla pro jejich zařazení do skupin.

Tento typ útoku není ojedinělý, ale ukazuje na hlubší problém v řízení identit – každý účet ve vaší organizaci, včetně hostujících, může být vstupním bodem pro eskalaci oprávnění. Přehodnoťte proto své politiky pro guest přístup, viditelnost a správu předplatných dříve, než toho někdo zneužije. Tuto možnost jsme reálně vyzkoušeli se svolením u jednoho našeho zákazníka a demonstrovali reálnost útoku.