AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Fallo en Microsoft Entra permite a usuarios invitados crear y transferir suscripciones con control total

admin

Introducción

En las últimas semanas, se ha identificado una brecha crítica en los controles de acceso de Microsoft Entra ID (anteriormente Azure Active Directory) que expone a las organizaciones a riesgos inesperados relacionados con la gestión de suscripciones. El incidente afecta directamente a la administración de permisos sobre recursos cloud cuando se invita a usuarios externos (guest users) al tenant corporativo. Este hallazgo ha puesto en alerta a CISOs, analistas SOC y administradores de sistemas, especialmente en entornos con políticas de colaboración B2B y federación de cuentas.

Contexto del Incidente o Vulnerabilidad

La arquitectura de Entra ID está diseñada para facilitar la colaboración segura entre organizaciones, permitiendo que usuarios externos sean invitados como “guest users” para acceder a recursos de la empresa anfitriona bajo permisos restringidos. Sin embargo, un fallo en la lógica de control de suscripciones ha permitido que estos usuarios externos, en determinadas condiciones, puedan crear y transferir suscripciones al tenant al que han sido invitados, manteniendo la propiedad total sobre ellas.

Este comportamiento contradice las mejores prácticas de seguridad Zero Trust y supone un vector de ataque subestimado, ya que las suscripciones pueden ser usadas para desplegar recursos, almacenar datos, o incluso para realizar actividades maliciosas bajo el paraguas del tenant corporativo.

Detalles Técnicos

El problema se origina en la gestión de roles y permisos a nivel de suscripción en Entra ID. El proceso habitual requiere que los usuarios tengan privilegios específicos —como el rol de “Contributor” o “Owner” en Azure— para crear nuevas suscripciones. Sin embargo, se ha descubierto que, si a un usuario invitado se le otorgan permisos para crear suscripciones (por configuración explícita o por error de configuración de RBAC), este puede:

– Crear una suscripción completamente nueva dentro del tenant anfitrión.
– Transferir suscripciones existentes bajo su control al tenant anfitrión.
– Mantenerse como propietario (“Owner”) de dichas suscripciones, incluso por encima de los administradores del tenant.

Este vector de ataque se alinea con técnicas MITRE ATT&CK como “Abuse Elevation Control Mechanism” (T1548) y “Valid Accounts” (T1078). Los indicadores de compromiso (IoC) clave incluyen la creación inesperada de suscripciones desde cuentas de tipo “Guest” y cambios en la propiedad de recursos asociados.

Hasta la fecha, Microsoft no ha asignado un CVE específico a esta vulnerabilidad, aunque la comunidad de seguridad ha comenzado a rastrear incidentes relacionados y a compartir exploits de prueba de concepto en frameworks como Metasploit y herramientas personalizadas basadas en PowerShell y Azure CLI.

Impacto y Riesgos

Según estimaciones preliminares, hasta un 18% de los tenants de Entra ID con colaboración B2B activa podrían estar potencialmente expuestos, especialmente aquellos con configuraciones permisivas de RBAC o sin revisiones periódicas de permisos. Los riesgos principales incluyen:

– Pérdida de control sobre recursos cloud críticos.
– Exposición de datos sensibles a actores externos.
– Posibilidad de uso fraudulento de recursos (minado de criptomonedas, almacenamiento ilegal, staging de ataques).
– Incumplimiento normativo (por ejemplo, GDPR, NIS2), ya que la organización anfitriona puede ser considerada responsable de los datos y actividades en dichas suscripciones.

Se ha documentado al menos un caso en el que se transfirieron recursos por valor superior a 50.000 € fuera del control de los administradores legítimos del tenant.

Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de ciberseguridad y administración de Azure:

1. Revisar inmediatamente los permisos delegados a usuarios “Guest”, especialmente el acceso a la creación de suscripciones.
2. Restringir el uso de roles de alto privilegio para cuentas externas y aplicar el principio de mínimo privilegio.
3. Monitorizar logs de auditoría de Azure AD y Entra ID para identificar actividades de creación o transferencia de suscripciones no autorizadas.
4. Aplicar Conditional Access Policies y revisiones periódicas de acceso (Access Reviews).
5. Configurar alertas en SIEM para la detección temprana.
6. Revisar la documentación y guías de seguridad de Microsoft, que ya han publicado recomendaciones provisionales para mitigar el riesgo.

Opinión de Expertos

Expertos como Laura Sánchez, CISO de una multinacional tecnológica, afirman: “Este incidente demuestra la importancia de revisar cada detalle en la configuración de colaboración externa. El riesgo no viene solo de los invitados, sino de la complejidad inherente a los sistemas de permisos en la nube”.

Desde el sector de pentesting, se destaca la facilidad con la que pueden automatizarse estos ataques mediante scripts en PowerShell y la API de Azure, lo que eleva el riesgo de explotación masiva.

Implicaciones para Empresas y Usuarios

A nivel empresarial, este tipo de brechas puede traducirse en sanciones regulatorias severas, pérdida de reputación y costes asociados a la remediación y monitorización de incidentes. Para los usuarios, supone una ampliación de la superficie de ataque y una mayor dificultad para identificar el abuso, ya que las actividades de los guest users pueden camuflarse como legítimas.

Conclusiones

La brecha detectada en Microsoft Entra ID pone de manifiesto la necesidad de un enfoque proactivo y riguroso en la gestión de permisos cloud, especialmente en entornos colaborativos. Las organizaciones deben auditar y reforzar sus controles de acceso, adoptar herramientas de monitorización avanzada y formar a sus equipos en los riesgos emergentes que plantea la colaboración B2B en la nube.

(Fuente: feeds.feedburner.com)