Istraživači su otkrili sofisticiranu metodu napada koja iskorištava implementacije Microsoft Azure Arc servisa kako bi se postigao trajni pristup u korporativnim okruženjima. Ova saznanja, prikupljena tokom nedavnih operacija timova za crveno testiranje (red teaming), ukazuju na to kako maliciozni hakeri mogu iskoristiti nepropisno konfigurisane Azure Arc instalacije. To im omogućava da podignu svoja prava pristupa od cloud okruženja do lokalnih (on-premises) sistema, te da održe dugoročnu prisutnost koristeći legitimne Microsoft servise.
Azure Arc, platforma kompanije Microsoft za upravljanje hibridnim cloud okruženjima, proširuje postojeće Azure mogućnosti upravljanja na lokalne sisteme, Kubernetes klastere i druge resurse koji nisu direktno u Azure oblaku. Iako je osmišljen radi pojednostavljenja upravljanja hibridnom infrastrukturom, sam proces implementacije i konfiguracije servisa stvorio je nove potencijalne vektore napada koje mogu eksploatisati prijetnje.
Istraživanje pokazuje kako napadači mogu idenfikovao Arc implementacije unutar korporativnih mreža i zloupotrijebiti uobičajene greške u konfiguraciji. To im omogućava da postignu izvršavanje koda sa privilegijama na nivou sistema. Metode napada uglavnom se fokusiraju na iskorištavanje akreditiva servisnih principalova (Service Principal credentials), koji su često “zakucani” (hardcoded) u skripte za implementaciju ili pohranjeni na lako dostupnim mrežnim dijelovima (network shares). Ovi kredencijali, prvobitno namijenjeni za automatsku registraciju Arc klijenata, mogu biti kompromitovani od strane napadača koji dobiju pristup infrastrukturi za implementaciju ili konfiguraciji politika.
Nakon što se kredencijali pribave, oni se mogu iskoristiti za izvršavanje proizvoljnog koda na sistemima kojima upravlja Arc, putem različitih Azure interfejsa za upravljanje. Analitičari kompanije IBM idenfikovali su više vektora implementacije koji unose sigurnosne slabosti. To uključuje PowerShell skripte sa ugrađenim tajnim podacima, nepropisno konfigurisane System Center Configuration Manager (SCCM) implementacije, te objekte grupnih politika (Group Policy Objects – GPOs) koji pohranjuju enkriptovane kredencijale koristeći DPAPI-NG mehanizam. Tim za istraživanje je primijetio da ove metode implementacije, iako slijede zvanična Microsoftova uputstva, često dovode do izlaganja kredencijale zbog previše široko dodijeljenih kontrola pristupa i nedovoljno sigurnih praksi upravljanja tajnim podacima.
Najznačajnije otkriće tiče se eksploatacije DPAPI-NG enkriptovanih tajnih podataka pohranjenih na Azure Arc dijelovima za implementaciju. Kada se Arc implementira putem grupnih politika, administratori kreiraju mrežne dijelove koji sadrže datoteke za implementaciju, uključujući datoteku pod nazivom “encryptedServicePrincipalSecret”. Ova datoteka je zaštićena DPAPI-NG enkripcijom. Međutim, ova enkripcija je konfigurisana tako da bilo kojem članu grupe “domain computers” omogući dešifriranje tajnog podatka, čime ga efektivno čini dostupnim svakom kompromitovanom sistemu unutar domene. Proces dešifriranja podrazumijeva pristup dijelu za implementaciju i korištenje PowerShell komandi za dohvaćanje enkriptovanog bloba. Napadači mogu izvršiti sljedeću tehniku s bilo kojeg sistema koji posjeduje NT_AUTHORITY\SYSTEM privilegije:
“`powershell
$encryptedSecret = Get-Content (Join-Path $SourceFilesFullPath “encryptedServicePrincipalSecret”)
# DPAPI-NG blob configured to allow any member of domain computers group to decrypt
“`
Ova metoda oporavka kredencijala pruža napadačima pristup servisnim principalovima koji se mogu odmah iskoristiti za izvršavanje koda na sistemima kojima upravlja Arc. Istraživanje pokazuje da ovi oporavljeni kredencijali često posjeduju podignuta prava pristupa iznad onih koja su im originalno namijenjena, uključujući ulogu “Azure Connected Machine Resource Administrator”, koja dodjeljuje sveobuhvatne mogućnosti upravljanja implementacijama Arc servisa.