Istraživači su otkrili naprednu metodu kojom napadači mogu iskoristiti implementacije Microsoft Azure Arca kako bi stekli trajni pristup korporativnim mrežama.
Ovo istraživanje, provedeno tokom nedavnih red teaming operacija, otkriva kako počinioci mogu iskoristiti nepravilno konfigurirane Azure Arc instalacije za eskalaciju privilegija s cloud okruženja na lokalne sisteme, te održavanje dugoročnog prisustva koristeći legitimne Microsoft usluge.
Azure Arc, Microsoftova platforma za upravljanje hibridnim oblakom, proširuje izvorne mogućnosti upravljanja Azurea na lokalne sisteme, Kubernetes klastere i druge resurse izvan Azurea.
Iako je dizajniran za pojednostavljenje upravljanja hibridnom infrastrukturom, mehanizmi implementacije i procesi konfiguracije ove usluge stvorili su nove vektore napada koje akteri prijetnji mogu iskoristiti.
Istraživanje pokazuje kako napadači mogu identificirati Arc implementacije u korporativnim okruženjima i zloupotrijebiti uobičajene pogrešne konfiguracije kako bi izvršili kod sa privilegijama sistemskog nivoa.
Tehnike napada fokusiraju se na iskorištavanje vjerodajnica Service Principal-a koje se često hardkodiraju u skripte za implementaciju ili pohranjuju na dostupnim mrežnim dijeljenim resursima.
Ove vjerodajnice, izvorno namijenjene za automatsku registraciju Arc klijenata, mogu se povratiti od strane napadača koji steknu pristup infrastrukturi za implementaciju ili konfiguraciji politike.
Nakon preuzimanja, ove se vjerodajnice mogu iskoristiti za izvršavanje proizvoljnog koda na sistemima kojima upravlja Arc putem raznih Azure interfejsa za upravljanje.
IBM analitičari identificirali su više vektora implementacije koji uvode sigurnosne ranjivosti, uključujući PowerShell skripte s ugrađenim tajnama, nepravilno konfigurirane System Center Configuration Manager (SCCM) implementacije i Group Policy objekte (GPO) koji pohranjuju šifrirane vjerodajnice pomoću DPAPI-NG.
Istraživački tim je zabilježio da ove metode implementacije, iako slijede službene smjernice Microsofta, često rezultiraju izlaganjem vjerodajnica zbog prekomjerno permisivnih kontrola pristupa i neadekvatnih praksi upravljanja tajnama.
**Iskorištavanje DPAPI-NG-a i oporavak vjerodajnica**
Najznačajnije otkriće uključuje iskorištavanje DPAPI-NG šifriranih tajnih podataka pohranjenih na Azure Arc dijeljenim resursima za implementaciju.
Kada se Arc implementira putem Group Policy, administratori kreiraju mrežne dijeljene resurse koji sadrže datoteke za implementaciju, uključujući datoteku “encryptedServicePrincipalSecret” zaštićenu DPAPI-NG šifriranjem.
Međutim, ovo šifriranje je konfigurirano tako da bilo kojem članu grupe domain computers omogući dešifriranje tajne, čineći je efektivno dostupnom bilo kojem kompromitiranom sistemu u domeni.
Proces dešifriranja uključuje pristup dijeljenom resursu za implementaciju i korištenje PowerShell komandi za dohvaćanje šifriranog blob-a.
Napadači mogu izvršiti sljedeću tehniku s bilo kojeg sistema koji posjeduje NT_AUTHORITY\SYSTEM privilegije.
“`powershell
$encryptedSecret = Get-Content (Join-Path $SourceFilesFullPath “encryptedServicePrincipalSecret”)
# DPAPI-NG blob konfiguriran da bilo kojem članu grupe domain computers omogući dešifriranje
“`
Ova metoda oporavka vjerodajnica pruža napadačima pristup Service Principal-u koji se može odmah iskoristiti za izvršavanje koda na sistemima kojima upravlja Arc.
Istraživanje pokazuje da ove povratne vjerodajnice često posjeduju povišene privilegije izvan njihovog predviđenog opsega, uključujući ulogu “Azure Connected Machine Resource Administrator”, koja dodjeljuje sveobuhvatne mogućnosti upravljanja nad Arc implementacijama.
