Los investigadores de ciberseguridad han descubierto una técnica de ataque sofisticada que explota las implementaciones de Microsoft Azure Arc para obtener acceso persistente a entornos empresariales.
La investigación, realizada durante las recientes operaciones del equipo rojo, revela cómo los adversarios pueden aprovechar las instalaciones de Azure Arc mal configuradas para aumentar los privilegios de los entornos en la nube a los sistemas locales y mantener la persistencia a largo plazo a través de los servicios legítimos de Microsoft.
Azure ARC, la plataforma de gestión de nubes híbridas de Microsoft, extiende las capacidades de gestión nativa de Azure a los sistemas locales, clústeres de Kubernetes y otros recursos no azucarados.
Ventana de descripción general de la gestión de ARC (fuente – IBM)
Mientras está diseñado para racionalizar la gestión de la infraestructura híbrida, los mecanismos de implementación del servicio y los procesos de configuración han introducido nuevos vectores de ataque que los actores de amenaza pueden explotar.
La investigación demuestra cómo los atacantes pueden identificar las implementaciones de ARC en entornos empresariales y abusar de configuraciones erróneas comunes para lograr la ejecución del código con privilegios a nivel de sistema.
Las técnicas de ataque se centran en la explotación de las credenciales principales del servicio que a menudo están codificadas en los scripts de implementación o se almacenan en acciones de redes accesibles.
Asignación de roles como parte de la creación principal del servicio (fuente – IBM)
Estas credenciales, originalmente destinadas al registro automatizado del cliente ARC, pueden ser recuperadas por atacantes que obtienen acceso a la infraestructura de implementación o configuraciones de políticas.
Una vez obtenidas, estas credenciales se pueden armarse para ejecutar código arbitrario en sistemas administrados por ARC a través de varias interfaces de gestión de Azure.
Analistas de IBM identificado Vectores de implementación múltiples que introducen vulnerabilidades de seguridad, incluidos los scripts de PowerShell con secretos integrados, las implementaciones de configuración de Centro de Sistema mal configurado (SCCM) y objetos de política de grupo (GPO) que almacenan credenciales cifradas utilizando DPAPI-NG.
Recuperación del script SCCM utilizado para implementar ARC de la base de datos del sitio SCCM con SQLRECon (fuente – IBM)
El equipo de investigación señaló que estos métodos de despliegue, al seguir la guía oficial de Microsoft, a menudo dan como resultado la exposición de las credenciales debido a controles de acceso demasiado permisivos y prácticas de gestión secretas inadecuadas.
DPAPI-NG Explotación y recuperación de credenciales
El hallazgo más significativo implica la explotación de secretos cifrados DPAPI-NG almacenados en acciones de despliegue de Azure Arc.
Cuando ARC se implementa a través de la política de grupo, los administradores crean acciones de red que contienen archivos de implementación, incluido un archivo “CiencedServicePrincipalSecret” protegido por el cifrado DPAPI-NG.
Sin embargo, este cifrado está configurado para permitir que cualquier miembro del grupo de computadoras de dominio descifrara el secreto, lo que lo hace accesible a cualquier sistema comprometido en el dominio.
El proceso de descifrado implica acceder a la participación de la implementación y usar los comandos de PowerShell para recuperar el blob encriptado.
Los atacantes pueden ejecutar la siguiente técnica de cualquier sistema con NT_Authority \ System Privileges:-
$ CiCryPTedSecret = Get-Content (unión de unión $ SourceFilesFullPath “CiCrypTedServicePrincipalSecret”) # DPAPI-NG BLOB configurado para permitir que cualquier miembro del grupo de computadoras de dominio descifrara
Este método de recuperación de credenciales proporciona a los atacantes acceso principal de servicio que se puede armarse de inmediato para la ejecución del código en sistemas administrados por ARC.
La investigación demuestra que estas credenciales recuperadas a menudo poseen privilegios elevados más allá de su alcance previsto, incluido el “Administrador de recursos de la máquina conectada Azure”, que otorga capacidades de gestión integrales sobre las implementaciones de ARC.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
