1. Co się dzieje
CERT Polska obserwuje wzrost liczby incydentów bezpieczeństwa wymierzonych w środowiska chmurowe polskich organizacji.
Atakujący uzyskują dostęp do kont administratorów w usługach takich jak:
Najczęściej dzieje się to poprzez:
- kampanie phishingowe
- malware kradnący dane uwierzytelniające
- przejęcie sesji logowania.
Po przejęciu konta administratora napastnicy mogą:
- tworzyć nowe konta użytkowników
- dodawać własne aplikacje do środowiska
- modyfikować konfigurację dzierżawy (tenant)
- wykorzystywać opłacone licencje i usługi do własnych działań.
W wielu przypadkach aktywność włamywaczy zaczyna się od logowania z zagranicznego adresu IP na konto administratora.
2. Dlaczego to ważne
Atak na konto administratora w środowisku chmurowym jest znacznie poważniejszy niż przejęcie pojedynczego konta użytkownika.
Administratorzy mają dostęp do:
zarządzania tożsamościami
konfiguracji usług
uprawnień użytkowników
integracji aplikacji
W praktyce oznacza to możliwość pełnego przejęcia środowiska organizacji.
Szczególnie wrażliwe są konta o rolach takich jak:
- Global Administrator
- Privileged Authentication Administrator
- administratorzy dzierżawy (tenant).
Jeżeli konto o takich uprawnieniach zostanie przejęte, atakujący może:
- dodać nowe konto administratora
- zmienić polityki bezpieczeństwa
- ukryć swoją aktywność w logach.
Dlatego właśnie konta uprzywilejowane są jednym z głównych celów ataków na środowiska chmurowe.
3. Co sprawdzić w swojej firmie
CERT Polska rekomenduje pilną weryfikację konfiguracji kont administracyjnych.
1. Uwierzytelnianie wieloskładnikowe
Sprawdź, czy wszystkie konta administratorów mają wymuszone MFA / 2FA.
Szczególnie dotyczy to ról:
- Global Administrator
- Privileged Authentication Administrator
- administratorów dzierżawy.
2. Liczba kont uprzywilejowanych
Ogranicz liczbę kont administratorów do absolutnego minimum.
Zgodnie z zasadą least privilege, użytkownicy powinni korzystać z kont o podwyższonych uprawnieniach tylko wtedy, gdy jest to konieczne.
Nie zaleca się używania konta Global Administrator do codziennych czynności, takich jak:
- obsługa poczty
- logowanie do aplikacji
- zarządzanie użytkownikami.
Do wielu zadań istnieją role o ograniczonych uprawnieniach, np. Helpdesk Administrator odpowiedzialny za reset haseł.
3. Weryfikacja zmian w środowisku
Warto sprawdzić, czy w ostatnim czasie nie pojawiły się nieautoryzowane zmiany w:
- użytkownikach
- aplikacjach
- dodatkowych domenach
- konfiguracji dzierżawy.
Takie zmiany często są pierwszym sygnałem przejęcia konta administratora.
4. Monitorowanie logowań
W wielu incydentach zgłoszonych do CERT Polska włamywacze rozpoczynali działania od logowania z nietypowej lokalizacji geograficznej.
Jeżeli użytkownicy organizacji pracują głównie z Polski, warto monitorować logi pod kątem logowań z zagranicznych adresów IP.
5. Konta awaryjne (break glass)
W środowiskach chmurowych zaleca się utrzymywanie specjalnych kont awaryjnych, tzw. emergency access accounts.
Takie konta:
- służą wyłącznie do odzyskiwania dostępu do środowiska
- nie powinny być używane do codziennej pracy
- powinny być silnie zabezpieczone i monitorowane.
Zalecenia dotyczące ich konfiguracji można znaleźć w dokumentacji Microsoft:
Microsoft Entra ID emergency access accounts
Ataki na konta administratorów w usługach chmurowych stają się coraz częstsze.
W przeciwieństwie do klasycznych włamań do serwerów infrastruktura chmurowa daje napastnikom dostęp do całego środowiska organizacji — często jednym logowaniem.
Dlatego bezpieczeństwo kont uprzywilejowanych pozostaje jednym z najważniejszych elementów ochrony środowisk chmurowych
