Algemeen
Deze regel detecteert wanneer een gebruiker wordt toegevoegd als eigenaar (Owner) aan een Azure subscription. De Owner rol is de hoogste rechtenrol binnen Azure en geeft volledige controle over alle resources binnen het abonnement, inclusief het beheer van toegangsrechten, facturering en alle onderliggende resources.
Rationale
De Azure subscription Owner rol is een van de meest krachtige rollen binnen de Azure omgeving. Een gebruiker met deze rol kan alle resources binnen het abonnement beheren, inclusief het toekennen en intrekken van rechten aan andere gebruikers, het aanmaken en verwijderen van resources, en het wijzigen van beveiligingsinstellingen. Dit maakt de Owner rol een aantrekkelijk doelwit voor aanvallers.
Wanneer een aanvaller toegang heeft tot een account met voldoende rechten, kan deze zichzelf of een ander gecompromitteerd account de Owner rol toekennen. Dit wordt ook wel privilege escalation genoemd (zie ook: MITRE ATT&CK T1098 - Account Manipulation). Met deze verhoogde rechten kan de aanvaller vervolgens de volledige Azure omgeving overnemen, data exfiltreren, resources aanmaken voor cryptomining, of backdoors installeren voor toekomstige toegang.
Het is daarom cruciaal om nieuwe Owner toekenningen te monitoren en te valideren. Legitieme toekenningen van de Owner rol zijn vaak zeldzaam en zouden altijd via een gecontroleerd proces moeten verlopen. Onverwachte toekenningen kunnen duiden op een security incident en vereisen onmiddellijke actie.
Opvolging
Voer deze stappen uit om deze detectie adequaat op te volgen:
- Valideer of de Owner toekenning legitiem is door contact op te nemen met de gebruiker die de rechten heeft toegekend.
-
Zo nee: beschouw het account als gecompromitteerd en voer onmiddellijke containment uit:
- Verwijder onmiddellijk de Owner toekenning van de verdachte gebruiker
- Disable het account dat de rechten heeft toegekend (mogelijk gecompromitteerd)
- Disable het account dat de Owner rechten heeft ontvangen
- Trek alle actieve sessies in van beide accounts (revoke sessions)
- Reset de wachtwoorden van beide accounts
- Onderzoek alle activiteiten van beide accounts sinds de Owner toekenning om te bepalen welke acties zijn uitgevoerd. Let specifiek op:
- Nieuwe gebruikers of service principals aangemaakt
- Nieuwe resources gedeployed (VM's, storage accounts, etc.)
- Wijzigingen in netwerkregels of firewalls
- Data exfiltratie naar externe storage
- Wijzigingen in logging of monitoring instellingen
-
Zo nee: beschouw het account als gecompromitteerd en voer onmiddellijke containment uit:
Azure Owner Rol Details
De Owner rol in Azure (RoleDefinitionId: 8e3af657-a8ff-443c-a75c-2fe8c4bcb635) geeft de volgende rechten:
- Volledige toegang tot alle resources binnen het subscription
- Rechten beheer: kan alle Azure RBAC rollen toekennen en intrekken
- Resource management: aanmaken, wijzigen en verwijderen van alle resource types
- Netwerk configuratie: wijzigen van firewalls, NSG's, VNets, etc.
- Toegang tot data: lezen en schrijven van data in alle storage accounts, databases, etc.
- Billing management: inzicht in kosten en facturering
- Policy management: wijzigen van Azure Policies en compliance instellingen
Vanwege deze brede rechten moet de Owner rol zeer restrictief worden toegekend en continu worden gemonitord.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.