Acceso condicional a Azure AD omitido mediante el registro de dispositivo fantasma y el abuso de PRT.

La seguridad de la identidad en la nube depende en gran medida del acceso condicional de Microsoft Entra ID (anteriormente Azure AD). Actúa como el principal guardián digital, verificando las ubicaciones de los usuarios, calculando puntuaciones de riesgo y verificando el estado del dispositivo antes de otorgar acceso.

Tanto los investigadores como los actores de amenazas explotaron los puntos finales del Servicio de registro de dispositivos (DRS) desprotegidos para establecer puntos de apoyo iniciales, lo que demuestra que las credenciales bloqueadas no son un callejón sin salida para los atacantes sofisticados. Acceso condicional a Azure AD omitido Según la investigación exhaustiva de Howler Cell, la operación comenzó con credenciales válidas bloqueadas explícitamente por una política de CA, lo que generó un error AADSTS53003. Con un solo comando, el equipo de Howler Cell registró un dispositivo fantasma con un certificado de Azure AD firmado y una clave privada. Cuando este PRT se intercambió por un token de acceso, Azure AD determinó que la sesión estaba autenticada por el dispositivo.

Escalamiento y mitigación Independientemente de la suplantación de dispositivos, el investigador Howler Cell de Cyderes identificó un riesgo estructural en entornos de identidad híbrida. La publicación Acceso condicional a Azure AD omitido mediante registro de dispositivo fantasma y abuso de PRT apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗