Invitado con claves de servidor: Cómo tomar el control de Azure sin permisos administrativos

En los últimos días, la industria de la seguridad en la nube ha estado discutiendo un nuevo informe de BeyondTrust, cuyos hallazgos presentan un panorama sumamente preocupante para las empresas que utilizan Microsoft Entra ID y la infraestructura de Azure. Los expertos han revelado una vulnerabilidad que permite a los atacantes aprovechar roles poco conocidos relacionados con la facturación para obtener control y escalar privilegios dentro de entornos en la nube ajenos.

Están en riesgo los denominados usuarios invitados, que normalmente son incorporados para colaborar con un conjunto mínimo de permisos. Pero incluso estos “invitados” pueden crear y gestionar suscripciones de Azure dentro de organizaciones donde no tienen ninguna capacidad administrativa. Todo se debe a las peculiaridades de la configuración predeterminada de Microsoft: si no se restringen manualmente ciertas opciones, los atacantes pueden afianzarse en infraestructuras ajenas, realizar reconocimiento e incluso obtener acceso ampliado a recursos valiosos.

La esencia de la vulnerabilidad radica en las particularidades del funcionamiento de los roles relacionados con la facturación y la gestión de suscripciones en Azure, especialmente en el marco de Enterprise Agreement y Microsoft Customer Agreement, así como con el modelo de pago por uso. Roles como propietario de cuenta o creador de suscripción generalmente se asignan solo en el entorno nativo del usuario, pero permiten trasladar o crear nuevas suscripciones en otras organizaciones donde el usuario tenga estatus de invitado.

En la práctica, el ataque se desarrolla así: el atacante crea un tenant gratuito de prueba en Azure, se asigna un rol adecuado, acepta la invitación a la organización objetivo como invitado y desde allí inicia la creación de una suscripción que controla completamente. Luego sus capacidades se amplían: se convierte en el propietario de una infraestructura en la nube completa dentro de una empresa ajena, sorteando las limitaciones estándar de las cuentas de invitado.

Esta característica ha sido reconocida por Microsoft como un comportamiento previsto y se explica por el soporte de colaboración entre organizaciones. Pero la ausencia de restricciones por defecto permite que los atacantes utilicen esta “brecha” para afianzarse y escalar privilegios. Tras crear una suscripción, el atacante puede visualizar la lista de administradores a nivel de grupos raíz de gestión, es decir, ver quién controla realmente los recursos clave de la empresa y apuntar a las cuentas más valiosas.

Además, se pueden debilitar las políticas de seguridad asociadas con la suscripción y crear identidades gestionadas dentro del directorio compartido de Entra ID para asegurar un acceso prolongado. Adicionalmente, al registrar máquinas virtuales y otros dispositivos en el tenant objetivo, existe el riesgo de evadir las políticas de acceso condicional y manipular las reglas dinámicas de grupo.

Para los administradores de Azure, esto representa un escenario no evidente pero extremadamente peligroso: pocos incluyen la gestión de roles relacionados con la facturación en su modelo de amenazas. BeyondTrust recomienda revisar inmediatamente las políticas de gestión de invitados, restringir severamente la posibilidad de trasladar o crear suscripciones, y monitorear todas las acciones sospechosas relacionadas con la aparición de nuevas suscripciones de invitados. También se recomienda utilizar herramientas especializadas para el análisis de riesgos y el monitoreo de la actividad de los invitados.

Este caso demuestra claramente lo importante que es no confiar en la configuración predeterminada de Microsoft Entra ID y eliminar proactivamente los puntos ciegos en la arquitectura de seguridad en la nube. Ante los primeros signos de actividad de “invitados inquietos”, es crucial reaccionar de inmediato para evitar una pérdida total de control sobre parte de la infraestructura corporativa.