A segurança de identidade em nuvem depende fortemente do Conditional Access do Microsoft Entra ID (anteriormente Azure AD), que atua como o principal guardião digital, verificando localizações, calculando pontuações de risco e validando a saúde do dispositivo antes de conceder acesso. No entanto, um engajamento de red team autorizado pela Howler Cell revelou recentemente um caminho de ataque crítico que contorna totalmente essas proteções vitais.
Partindo de um único conjunto de credenciais válidas, frequentemente adquiridas por algumas centenas de dólares em mercados de cibercrime, os pesquisadores conseguiram comprometer um tenant de produção contendo mais de 16.000 usuários. Este ataque não exigiu interação com endpoints corporativos e não implantou malware, destacando lacunas severas no registro de dispositivo padrão e na validação de conformidade.
O engajamento da Howler Cell espelhou de perto as táticas usadas por Storm-2372, um ator de ameaça suspeito alinhado ao estado russo. Tanto os pesquisadores quanto os atacantes exploraram endpoints desprotegidos do Device Registration Service (DRS) para estabelecer pontos iniciais, provando que credenciais bloqueadas não são um beco sem saída para atacantes sofisticados.
O mecanismo do ataque e o serviço de registro de dispositivos
De acordo com a pesquisa abrangente da Howler Cell, a operação começou com credenciais válidas explicitamente bloqueadas por uma política de Conditional Access, resultando em um erro AADSTS53003. Para contornar isso, os pesquisadores miraram o endpoint DRS usando o fluxo de autenticação de código de dispositivo, uma via deixada aberta por políticas de segurança não aplicadas.
Isso permitiu que eles se autenticassem com sucesso e prosseguissem para a próxima fase do ataque. Usando um único comando, a equipe da Howler Cell registrou um dispositivo fantasma com um certificado assinado do Azure AD e uma chave privada. A API DRS não valida se o chamador é uma máquina física Windows, permitindo que um laptop Linux se disfarce como um endpoint legítimo.
Este passo aproveitou a técnica MITRE ATT&CK para Manipulação de Conta (T1098.005). Com o dispositivo fantasma registrado, os pesquisadores cunharam um Primary Refresh Token (PRT) contendo falsas reivindicações de dispositivo.
Abuso do Primary Refresh Token e falsificação de identidade
Quando este PRT foi trocado por um token de acesso, o Azure AD determinou que a sessão estava autenticada por dispositivo. Isso contornou completamente as políticas de Conditional Access que exigiam um dispositivo compatível ou unido, concedendo acesso ao ambiente tenant mais amplo para enumeração de diretório.
Para contornar políticas que exigem estritamente um dispositivo compatível com o Intune, os pesquisadores exploraram uma lacuna conhecida nas restrições de inscrição do Intune. Ao reivindicar status de união de domínio híbrido, o dispositivo fantasma contornou os requisitos de pré-inscrição.
O Intune confiava na declaração de domínio do cliente sem verificá-la contra o Active Directory local. Uma vez inscrito, o dispositivo alcançou conformidade apesar de não ter BitLocker, Secure Boot ou software antivírus. A lógica de avaliação do Intune tratou respostas de atestação de saúde ausentes como "não aplicável" em vez de não conformes.
Contornando políticas de conformidade do Intune
Essa postura padrão permissiva permitiu que os pesquisadores baixassem aplicativos empresariais internos e, ao extrair um único pacote, revelaram convenções de nomenclatura de servidores internos críticos e arquitetura de rede. A descoberta de 255 funções de diretório altamente privilegiadas, incluindo múltiplos Administradores Globais, sincronizadas diretamente do Active Directory local, identificou um risco estrutural em ambientes de identidade híbrida.
A comprovação dessas contas locais fornece aos atacantes um caminho direto para a tomada completa do tenant em nuvem sem precisar de exploits específicos da nuvem. Para defender contra essas cadeias de ataque complexas, as organizações devem endurecer seus modelos de confiança de dispositivo.
Riscos em ambientes de identidade híbrida e sincronização
A sincronização de funções privilegiadas do Active Directory local para o Entra ID representa um vetor de risco significativo. Se um atacante comprometer uma conta local com privilégios elevados, ele pode herdar automaticamente esses privilégios na nuvem. Isso elimina a necessidade de exploração de vulnerabilidades específicas da nuvem e simplifica o caminho para a tomada de controle total do tenant.
Além disso, a falta de validação externa da saúde do dispositivo permite que dispositivos não conformes sejam tratados como confiáveis. Isso é particularmente preocupante em ambientes onde a conformidade do dispositivo é um requisito de segurança crítico para o acesso a dados sensíveis.
Comparação com táticas de APTs e Storm-2372
O engajamento da Howler Cell demonstrou que táticas avançadas de APTs podem ser replicadas por grupos menos sofisticados com acesso a credenciais básicas. A semelhança com as táticas do Storm-2372 sugere que esses métodos podem ser amplamente utilizados por atores estatais e criminosos organizados.
A exploração de endpoints DRS desprotegidos é uma técnica que pode ser automatizada e escalada. Isso significa que a ameaça não se limita a alvos específicos, mas pode afetar qualquer organização que não tenha aplicado as mitigações recomendadas.
Mitigações recomendadas para CISOs e equipes de segurança
Para defender contra essas cadeias de ataque complexas, as organizações devem endurecer seus modelos de confiança de dispositivo. As mitigações cruciais incluem:
- Aplicar políticas de Conditional Access em modo de relatório que bloqueiem fluxos de código de dispositivo e exijam MFA para registro de dispositivo.
- Exigir atestação TPM 2.0 como pré-requisito estrito para emissão de todos os PRTs.
- Exigir validação externa da saúde do dispositivo por meio do Microsoft Health Attestation Service em vez de confiar em dados autorrelatados.
- Escopar o acesso à API Graph de nível de usuário para prevenir enumeração de diretório em massa não autorizada.
- Restringir funções de diretório privilegiadas exclusivamente a contas apenas na nuvem gerenciadas por meio do Privileged Identity Management.
Implicações regulatórias e LGPD
Para empresas brasileiras, este tipo de ataque tem implicações diretas na conformidade com a Lei Geral de Proteção de Dados (LGPD). A capacidade de um atacante contornar controles de acesso e acessar dados sensíveis sem detecção pode resultar em violações de dados que exigem notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.
A falha em implementar controles de segurança adequados, como a validação de integridade de dispositivo e o gerenciamento de privilégios, pode ser interpretada como negligência na proteção de dados pessoais, levando a multas significativas e danos à reputação.
Perguntas frequentes e próximos passos
Os CISOs devem perguntar: "Nossas políticas de Conditional Access estão bloqueando fluxos de código de dispositivo?" e "Estamos validando a saúde do dispositivo antes de conceder acesso?". A resposta a essas perguntas deve guiar a implementação imediata das mitigações recomendadas.
Além disso, é crucial revisar as funções de diretório sincronizadas do Active Directory local e garantir que apenas contas necessárias tenham privilégios elevados. A adoção de Privileged Identity Management (PIM) é essencial para gerenciar e monitorar o acesso privilegiado na nuvem.
Em resumo, a descoberta da Howler Cell destaca a necessidade de uma abordagem mais rigorosa à segurança de identidade em nuvem. As organizações devem assumir que as configurações padrão não são seguras e devem aplicar mitigações proativas para proteger seus ambientes contra ataques sofisticados.