Istraživači su otkrili novu tehniku za iskorištavanje Azure Arc-a radi eskalacije pristupa u hibridnim okruženjima preduzeća i održavanje upornosti.
Istraživači su otkrili sofisticiranu tehniku napada koja iskorištava implementaciju Microsoft Azure Arc-a kako bi stekli uporni pristup okruženjima preduzeća.
Istraživanje, sprovedeno tokom nedavnih operacija crvenog tima, otkriva kako napadači mogu iskoristiti pogrešno konfigurirane implementacije Azure Arc-a kako bi eskalirali privilegije iz oblaka na sisteme na lokaciji i održavali dugoročnu upornost kroz legitimne Microsoftove usluge.
Azure Arc, Microsoftova platforma za upravljanje hibridnim oblakom, proširuje izvorne mogućnosti upravljanja Azure-om na sisteme na lokaciji, Kubernetes klastere i druge resurse izvan Azure-a.
Iako je usluga dizajnirana da pojednostavi upravljanje hibridnom infrastrukturom, njeni mehanizmi implementacije i procesi konfiguracije uveli su nove vektore napada koje mogu iskoristiti akteri prijetnje.
Istraživanje pokazuje kako napadači mogu identificirati implementacije Arc-a u okruženjima preduzeća i zloupotrijebiti uobičajene pogrešne konfiguracije kako bi postigli izvršavanje koda s privilegijama na nivou sistema.
Tehnike napada fokusiraju se na iskorištavanje akreditiva Servisnog principal-a koji su često kodirani u skriptama za implementaciju ili pohranjeni na dostupnim mrežnim dijeljenjima.
Ovi akreditivi, prvobitno namijenjeni za automatiziranu registraciju Arc klijenata, mogu povratiti napadači koji steknu pristup infrastrukturi za implementaciju ili konfiguracijskim politikama.
Nakon što se dobiju, ovi akreditivi se mogu koristiti za izvršavanje proizvoljnog koda na sistemima kojima upravlja Arc putem raznih sučelja za upravljanje Azure-om.
IBM analitičari su identifikovali više vektora implementacije koji uvode sigurnosne ranjivosti, uključujući PowerShell skripte sa ugrađenim tajnama, pogrešno konfigurirane implementacije System Center Configuration Manager (SCCM) i Group Policy Objects (GPO) koji pohranjuju šifrirane akreditive koristeći DPAPI-NG.
Tim za istraživanje je napomenuo da ove metode implementacije, iako slijede službene smjernice Microsofta, često rezultiraju izlaganjem akreditiva zbog previše dozvoljavajućih kontrola pristupa i neadekvatnih praksi upravljanja tajnama.
**Iskorištavanje DPAPI-NG i povrat akreditiva**
Najznačajnije otkriće uključuje iskorištavanje DPAPI-NG šifriranih tajnih podataka pohranjenih u dijeljenjima za implementaciju Azure Arc-a.
Kada se Arc implementira putem Grupnih politika, administratori kreiraju mrežna dijeljenja koja sadrže datoteke za implementaciju, uključujući datoteku “encryptedServicePrincipalSecret” zaštićenu DPAPI-NG šifriranjem.
Međutim, ovo šifriranje je konfigurisano tako da bilo kojem članu grupe domen računara omogući dešifriranje tajnog podatka, čime ga efektivno čini dostupnim bilo kojem kompromitovanom sistemu u domeni.
Proces dešifriranja uključuje pristup dijeljenju za implementaciju i korištenje PowerShell komandi za preuzimanje šifriranog bloka podataka.
Napadači mogu izvršiti sljedeću tehniku sa bilo kojeg sistema sa privilegijama NT_AUTHORITY\SYSTEM:
“`
$encryptedSecret = Get-Content (Join-Path $SourceFilesFullPath “encryptedServicePrincipalSecret”)
# DPAPI-NG blob konfiguran da dozvoli bilo kojem članu grupe domen računara da dešifruje
“`
Ova metoda povrata akreditiva pruža napadačima pristup Servisnom principal-u koji se može odmah iskoristiti za izvršavanje koda na sistemima kojima upravlja Arc.
Istraživanje pokazuje da ovi povraćeni akreditivi često posjeduju povišene privilegije izvan njihovog predviđenog opsega, uključujući ulogu „Azure Connected Machine Resource Administrator“, koja daje sveobuhvatne mogućnosti upravljanja implementacijama Arc-a.