Istraživači su otkrili naprednu tehniku kojom se iskorištavaju Microsoft Azure Arc implementacije za dobijanje upornog pristupa korporativnim okruženjima. Ova saznanja, stečena tokom nedavnih operacija crvenog tima, pokazuju kako napadači mogu iskoristiti nepravilno konfigurisane Azure Arc postavke za eskalaciju privilegija sa cloud okruženja na lokalne sisteme, te održavanje dugoročne upornosti kroz legitimne Microsoft servise.
Azure Arc, Microsoftova platforma za upravljanje hibridnim cloudovima, proširuje izvorne Azure mogućnosti upravljanja na lokalne sisteme, Kubernetes klastere i druge resurse izvan Azurea. Iako je dizajniran za pojednostavljeno upravljanje hibridnom infrastrukturom, procesi implementacije i konfiguracije ovog servisa otvorili su nove vektore napada koje sajber kriminalci mogu iskoristiti.
Studija demonstrira kako napadači mogu identifikovati Arc implementacije u korporativnim okruženjima i zloupotrijebiti uobičajene greške u konfiguraciji kako bi ostvarili izvršavanje koda sa sistemskim privilegijama. Metode napada se uglavnom fokusiraju na iskorištavanje akreditiva Service Principala, koji su često hardkodirani u skripte za implementaciju ili pohranjeni na dostupnim mrežnim dijeljenim lokacijama.
Ovi akreditivi, prvobitno namijenjeni za automatsku registraciju Arc klijenata, mogu biti povraćeni od strane napadača koji steknu pristup infrastrukturi za implementaciju ili konfiguracijskim politikama. Jednom kada ih dobiju, ti akreditivi se mogu iskoristiti za izvršavanje proizvoljnog koda na sistemima kojima upravlja Arc, koristeći različita sučelja za Azure upravljanje.
IBM analitičari su identifikovali više vektora implementacije koji unose sigurnosne ranjivosti. Među njima su PowerShell skripte sa ugrađenim tajnama, nepravilno konfigurisane System Center Configuration Manager (SCCM) implementacije, te Group Policy Objects (GPO) koji skladište šifrovane akreditive koristeći DPAPI-NG. Istraživački tim je primijetio da ovi načini implementacije, iako slijede zvanična Microsoftova uputstva, često dovode do izlaganja akreditiva zbog preterano dozvoljavajućih kontrola pristupa i neadekvatnih praksi upravljanja tajnama.
Najznačajnije otkriće se tiče iskorištavanja DPAPI-NG šifrovanih tajni pohranjenih na lokacijama za implementaciju Azure Arca. Kada se Arc implementira putem Group Policy, administratori kreiraju mrežne dijeljene lokacije koje sadrže datoteke za implementaciju, uključujući datoteku “encryptedServicePrincipalSecret” zaštićenu DPAPI-NG enkripcijom. Međutim, ova enkripcija je konfigurisana tako da dozvoljava bilo kojem članu grupe “domain computers” da dešifruje tajnu, čineći je efektivno dostupnom svakom kompromitovanom sistemu u domeni.
Proces dešifrovanja uključuje pristup dijeljenoj lokaciji za implementaciju i korištenje PowerShell komandi za preuzimanje šifrovanog bloba. Napadači mogu izvršiti sljedeću tehniku sa bilo kojeg sistema koji posjeduje NT_AUTHORITY\SYSTEM privilegije. Ova metoda povraćaja akreditiva pruža napadačima pristup Service Principalu koji se može odmah iskoristiti za izvršavanje koda na sistemima kojima upravlja Arc.
Istraživanje pokazuje da ti povraćeni akreditivi često posjeduju povišene privilegije koje nadilaze njihovu namijenjenu svrhu, uključujući ulogu “Azure Connected Machine Resource Administrator”, koja dodjeljuje sveobuhvatne mogućnosti upravljanja nad Arc implementacijama.
