Istraživači su otkrili naprednu tehniku napada koja iskorištava implementacije Microsoft Azure Arc kako bi se stekao trajni pristup korporativnim okruženjima. Ova studija, provedena tokom nedavnih operacija crvenih timova, pokazuje kako napadači mogu iskoristiti pogrešno konfigurirane Azure Arc instalacije za eskalaciju privilegija od cloud okruženja do lokalnih sistema, te za održavanje dugoročnog prisustva koristeći legitimne Microsoft usluge. Azure Arc, Microsoftova platforma za upravljanje hibridnim cloudom, proširuje izvorne mogućnosti upravljanja Azurea na lokalne sisteme, Kubernetes klastere i druge resurse izvan Azurea. Iako je dizajniran za pojednostavljenje upravljanja hibridnom infrastrukturom, mehanizmi implementacije i procesi konfiguracije ove usluge otvorili su nove vektore napada koje mogu iskoristiti akteri prijetnji.
Istraživanje demonstrira kako napadači mogu identificirati Arc implementacije u korporativnim okruženjima i zloupotrijebiti uobičajene greške u konfiguraciji kako bi postigli izvršenje koda s privilegijama na nivou sistema. Tehnike napada fokusiraju se na iskorištavanje akreditiva Servisnih principalova koji su često kodirani u skripte za implementaciju ili pohranjeni u dostupnim mrežnim dijeljenjima. Ovi akreditivi, prvobitno namijenjeni za automatsku registraciju Arc klijenata, mogu biti oporavljeni od strane napadača koji steknu pristup infrastrukturi za implementaciju ili konfiguracijama politike. Jednom kada se dobiju, ovi akreditivi se mogu iskoristiti za izvršavanje proizvoljnog koda na sistemima kojima upravlja Arc, kroz različite interfejse za upravljanje Azureom.
Analitičari iz IBM-a identificirali su više vektora implementacije koji uvode sigurnosne ranjivosti, uključujući PowerShell skripte s ugrađenim tajnama, pogrešno konfigurirane implementacije System Center Configuration Manager (SCCM) i Group Policy Objects (GPO) koji pohranjuju šifrirane akreditive koristeći DPAPI-NG. Tim za istraživanje je primijetio da ove metode implementacije, iako slijede zvanične smjernice Microsofta, često rezultiraju izlaganjem akreditiva zbog prekomjerno dozvoljenih kontrola pristupa i neadekvatnih praksi upravljanja tajnama.
Najznačajnije otkriće uključuje iskorištavanje DPAPI-NG šifriranih tajni pohranjenih u dijeljenjima za implementaciju Azure Arc. Kada se Arc implementira putem Group Policy, administratori kreiraju mrežna dijeljenja koja sadrže datoteke za implementaciju, uključujući datoteku “encryptedServicePrincipalSecret” zaštićenu DPAPI-NG šifriranjem. Međutim, ovo šifriranje je konfigurisano tako da dozvoljava bilo kojem članu grupe domenskih računala da dešifruje tajnu, čime je efektivno čini dostupnom bilo kojem kompromitiranom sistemu u domeni. Proces dešifriranja uključuje pristup dijeljenju za implementaciju i korištenje PowerShell komandi za preuzimanje šifriranog bloba. Napadači mogu izvršiti sljedeću tehniku s bilo kojeg sistema s NT_AUTHORITY\SYSTEM privilegijama:
“`powershell
$encryptedSecret = Get-Content (Join-Path $SourceFilesFullPath “encryptedServicePrincipalSecret”)
# DPAPI-NG blob konfiguriran da dozvoli bilo kojem članu grupe domenskih računala da dešifruje
Ova metoda oporavka akreditiva pruža napadačima pristup Servisnim principalovima koji se mogu odmah iskoristiti za izvršavanje koda na sistemima kojima upravlja Arc. Istraživanje pokazuje da ovi oporavljeni akreditivi često posjeduju povišene privilegije izvan njihovog predviđenog opsega, uključujući ulogu “Azure Connected Machine Resource Administrator”, koja daje sveobuhvatne mogućnosti upravljanja nad Arc implementacijama.
