Güvenlik araştırmacıları, iş ortamlarında Microsoft Azure Arc’ı tanımlamak ve bunlardan yararlanmanın yeni yollarını keşfettiler, bu da siber güvenlikte büyük bir ilerleme ve bu hibrid yönetim sistemindeki zayıflıkları ortaya çıkarabilir.
2019 yılında tanıtılan Azure Arc, Azure’un yerel yönetim yeteneklerini, şirket içi sunucular ve Kubernetes kümeleri de dahil olmak üzere Azure Sunucuları da dahil olmak üzere Azure Kaynak Yöneticisi aracılığıyla genişletiyor.
Azure ark algılama tekniklerinin açıklanması
Bununla birlikte, yakın zamanda yayınlanan ayrıntılı bir teknik analiz, rakiplerin hem Azure Cloud hem de şirket içi sistemlerde belirli göstergeleri analiz ederek ark dağıtımlarını nasıl tespit edebileceğini ortaya koymaktadır.
Bu keşif sadece keşifte yardımcı olmakla kalmaz, aynı zamanda Azure Arc’ı hibrid altyapılarda kalıcı erişim ve ayrıcalık artışı için olası bir vektör olarak konumlandırır.
Araştırma, ARC’nin varlığını ortaya çıkaran kritik izleri vurgular ve onu kötü amaçlı aktörler için bir hedef haline getirir.
Azure ortamında, “ARC Token Service” adlı servis müdürleri ve “Azurearcspn” gibi tanımlanabilir etiketlere, roadRecon ve Azurehound gibi araçlar aracılığıyla engebeli olmayan kullanıcılar tarafından bile erişilebilir.
Ayrıca, kiracılardaki ARC tarafından yönetilen cihazları ortaya çıkarmak için “Microsoft.hybridCompute” tanımlayıcısı ile işaretlenmiş yerleşik sistemler için yönetilen kimlikler numaralandırılabilir.
Yerde, şirket içi sistemler Arc’ın kurulumuna “C: \ Program Files \ Azureconnectedmachinegent” gibi belirli dizinler aracılığıyla, “GC_ARC_Service.exe” gibi çalışma süreçleri ve otomatik mürekkepli grup politika nesneleri (GPO’lar) dahil olmak üzere dağıtım artefaktları etiketlenmiş olarak ihanet eder.[MSFT] Azure ark sunucuları yer alıyor, ”hepsi keşif yapan saldırganlar için net ayak izleri görevi görüyor.
Kalıcılık için ark sömürmek
Sadece tespitin ötesinde, araştırma, kurumsal ortamlarda bant dışı kalıcılık için güçlü bir mekanizma olarak Azure arkının sömürülmesine derinlemesine dalmaktadır.
Bulgular, saldırganların genellikle dağıtım komut dosyaları içinde sabit kodlanmış veya “Azure Conneded Machine Kaynak Yöneticisi” gibi aşırı izin veren rollere bağlı yanlış yapılandırılmış hizmet ilkelerine bağlı olan kimlik bilgilerini nasıl kurtarabileceğini detaylandırıyor.
Bu erişimden yararlanan rakipler, RUN komutları ve özel komut dosyası uzantıları (CSE’ler) gibi özellikleri kullanarak ark tarafından yönetilen sistemlerde keyfi kod yürütebilir.
NT_Authority \ System bağlamında çalışan bu güçlü mekanizmalar, uzaktan komut yürütme ve dosya indirmelerini etkinleştirerek, tipik olarak Azure VMS ile ilişkili işlevleri çoğaltır.
Rapora göre, özellikle endişe verici bir vahiy, ARC istemcilerini yönetilmeyen sistemlere dağıtma ve bunları saldırgan kontrollü bir Azure kiracına bağlama ve böylece hibrit birleştirilmiş ortamlarda bile sürekli erişim için gizli bir kanal oluşturma yeteneğidir.
Bu sömürü potansiyeli, özellikle aşırı tedarik hizmet prensipleri veya zayıf güvenli dağıtım payları gibi yaygın yanlış yapılandırmalarla birleştirildiğinde, ark dağıtımlarına gömülü derin güvenlik risklerinin altını çizmektedir.
Bu tür gözetimler, şirket içinden bulut ortamlarına kadar tehlikeli bir artışı kolaylaştırabilir ve hibrit altyapılardaki saldırı yollarını köprüler.
Bu sofistike tehditlere karşı koymak için araştırmacılar, sıkı erişim kontrollerinin uygulanması, atanan rollerin periyodik incelemelerini yürütmek ve yetkisiz eylemleri sınırlamak için uzantıların izin listesinin uygulanması da dahil olmak üzere titiz savunma önlemlerini savunuyorlar.
Bu kapsamlı çalışma, Azure Arc’dan yararlanan kuruluşlar için bir uyandırma çağrısı olarak hizmet ederek, yönetimi kolaylaştırmak için tasarlanan araçlardan yararlanan gelişen saldırı vektörlerine karşı hibrid ortamları korumak için güçlü güvenlik stratejilerine acil ihtiyaç olduğunu vurgulamaktadır.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt