Istraživači su otkrili sofisticiranu tehniku napada koja iskorištava implementacije Microsoft Azure Arc za dobijanje trajnog pristupa korporativnim okruženjima.
Ovo istraživanje, sprovedeno tokom nedavnih operacija crvenog tima, pokazuje kako napadači mogu iskoristiti pogrešno konfigurirane Azure Arc instalacije za eskalaciju privilegija iz cloud okruženja na lokalne sisteme i održavanje dugoročne upornosti putem legitimnih Microsoft servisa.
Azure Arc, Microsoftova platforma za upravljanje hibridnim cloudom, proširuje izvorne mogućnosti upravljanja Azurea na lokalne sisteme, Kubernetes klastere i druge resurse izvan Azurea.
Iako je servis dizajniran da pojednostavi upravljanje hibridnom infrastrukturom, njegovi mehanizmi implementacije i procesi konfiguracije uveli su nove vektore napada koje sajber kriminalci mogu iskoristiti.
Istraživanje demonstrira kako napadači mogu identificirati Arc implementacije u korporativnim okruženjima i zloupotrijebiti uobičajene greške u konfiguraciji kako bi postigli izvršavanje koda s privilegijama na nivou sistema.
Tehnike napada fokusiraju se na iskorištavanje vjerodajnica Service Principal-a koje su često kodirane u skriptama za implementaciju ili pohranjene na dostupnim mrežnim dijeljenjima.
Ove vjerodajnice, prvobitno namijenjene za automatsku registraciju Arc klijenata, napadači mogu povratiti ako dobiju pristup infrastrukturi za implementaciju ili konfiguracijskim politikama.
Nakon dobijanja, ove vjerodajnice se mogu iskoristiti za izvršavanje proizvoljnog koda na sistemima kojima upravlja Arc putem raznih Azure interfejsa za upravljanje.
IBM analitičari su identifikovali više vektora implementacije koji unose sigurnosne ranjivosti, uključujući PowerShell skripte s ugrađenim tajnama, pogrešno konfigurirane implementacije System Center Configuration Manager-a (SCCM) i objekte grupnih politika (GPO) koji pohranjuju šifrirane vjerodajnice pomoću DPAPI-NG.
Istraživački tim je primijetio da ove metode implementacije, iako prate zvanične smjernice Microsofta, često dovode do izlaganja vjerodajnica zbog prekomjerno liberalnih kontrola pristupa i neadekvatnih praksi upravljanja tajnama.
Najznačajnije otkriće uključuje iskorištavanje DPAPI-NG šifriranih tajni pohranjenih na Azure Arc dijeljenjima za implementaciju.
Kada se Arc implementira putem grupne politike, administratori kreiraju mrežna dijeljenja koja sadrže datoteke za implementaciju, uključujući datoteku “encryptedServicePrincipalSecret” zaštićenu DPAPI-NG šifriranjem.
Međutim, ovo šifriranje je konfigurisano tako da bilo koji član grupe domenskih računara može dešifrirati tajnu, čime je ona efektivno dostupna bilo kojem kompromitiranom sistemu u domeni.
Proces dešifriranja uključuje pristup dijeljenju za implementaciju i korištenje PowerShell komandi za preuzimanje šifriranog bloba.
Napadači mogu izvršiti sljedeću tehniku sa bilo kojeg sistema koji posjeduje NT_AUTHORITY\SYSTEM privilegije:
$encryptedSecret = Get-Content (Join-Path $SourceFilesFullPath “encryptedServicePrincipalSecret”)
# DPAPI-NG blob konfiguriran da dozvoli bilo kojem članu grupe domenskih računara da dešifrira
Ova metoda povrata vjerodajnica pruža napadačima pristup Service Principal-u koji se može odmah iskoristiti za izvršavanje koda na sistemima kojima upravlja Arc.
Istraživanje pokazuje da ove povratne vjerodajnice često posjeduju povišene privilegije izvan njihovog predviđenog opsega, uključujući ulogu “Azure Connected Machine Resource Administrator”, koja dodjeljuje sveobuhvatne mogućnosti upravljanja nad Arc implementacijama.
