Yakın tarihli bir güvenlik analizi, Microsoft Azure’daki bir yanlış yakınlaştırma zincirinin, saldırganların ilk erişimden tam kiracı devralmasına bir kuruluşun bulut altyapısı üzerinde tam kontrol sahibi olmalarını nasıl sağlayabileceğini ortaya koydu.
Gerçek dünyadaki araçlar ve PowerShell senaryoları kullanılarak gösterilen saldırı yolu, organizasyonların Azure dağıtımlarını sertleştirmeleri ve ITM8 tarafından yapılan bir rapora göre şüpheli etkinlikleri izlemeleri için acil ihtiyacını vurgulamaktadır.
Saldırı nasıl ortaya çıkıyor
.png
)
Saldırı, kimliği doğrulanmamış bir rakip keşifle başlar. MicroBurst gibi açık kaynaklı araçlar kullanan saldırganlar, Azure alt alanlarını numaralandırır ve kamuya açık depolama hesaplarını arar.
Bu durumda, ADSIKKERHED adlı bir depolama hesabı, Azure Active Directory (AAD) kullanıcı kimlik bilgilerini içeren bir CSV dosyasına halka açık erişim sağlayan bir kap ile bulundu:
Invoke-WebRequest "https://adsikkerhed.blob.core.windows.net/files/test.csv" -OutFile .\output\test.csvGet-Content .\output\test.csvElinde geçerli kimlik bilgileri ile saldırgan, çok faktörlü kimlik doğrulama (MFA) veya erişimi engelleyebilecek koşullu erişim politikalarını kontrol eder. Hiçbiri yoksa, saldırgan kimlik doğrulamak için PowerShell AZ modülünü kullanır:
$Credentials = Get-CredentialConnect-AzAccount -Credential $CredentialsAyrıcalık artış ve yanal hareket
İçeri girdikten sonra saldırgan, dinamik üyelik kuralları ve ayrıcalıklı rolleri olanları arayarak Azure reklam gruplarını numaralandırır.
Örneğin, “AutomationAdmins” adlı bir grup, ekran adlarına “AutomationAdmin” olan herhangi bir kullanıcıyı otomatik olarak dahil edecek şekilde yapılandırılmıştır ve “Otomasyon Katkıda Bulunan” rolü atanır:
New -azureadmsgroup -displayName “AutomationAdmins” -description “Bu dinamik grup, ‘AutomationAdmin’ adlı herhangi bir AAD kullanıcısını ekleyecek” AMASILED $ yanlış -mailnickname “AutomationAdmins”. “AutomationAdmin”) ‘-MormberHipruleprocessingState “Açık”
Saldırgan, üyelik kuralıyla eşleşen, davetiyeyi kabul eden ve otomasyon katkıda bulunan rolünü kazanan bir konuk kullanıcı oluşturur.
Bununla birlikte, otomasyon hesaplarından runbook’ları dökebilirler, genellikle daha fazla ayrıcalıklı hizmet prensipleri için sert kodlanmış kimlik bilgileri bulabilirler.
Yönetilen kimlikleri ve temel tonozları kötüye kullanma
Bir hizmet müdürüne erişim ile “Sanal Makine Katkıda bulunan” rolü atanan saldırgan Azure VM’leriyle etkileşime girebilir. Bir VM’den yönetilen kimlik belirteçlerini çıkarmak için aşağıdaki komut dosyasını kullanırlar:
(Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -Method GET -Headers @{Metadata="true"} -UseBasicParsing).ContentBu jetonlar, saldırganın VM’nin yönetilen kimliğini taklit etmesine izin vererek Azure anahtar tonozlarında depolanan sırlara erişim sağlıyor.
Saldırgan daha sonra tehlikeye atılan kullanıcının, hizmet müdürü yönetim grubu düzeyinde “depolama hesabı katkıda bulunan” hakları olan bir uygulamanın sahibi olduğunu keşfeder.
Bu hizmet müdürüne yeni bir sır ekleyerek, saldırgan Olarak Kimlik Doğrular ve ayrıcalıklı yöneticiler tarafından kullanılan bulut kabuğu profili görüntüleri de dahil olmak üzere hassas depolamaya erişim kazanır.
Bir bulut kabuğu görüntüsünü zehirleyerek ve ayrıcalıklı bir kullanıcıyı yüklemeye kandırarak, saldırgan Azure reklamında kendilerine “küresel yönetici” hakları sağlayan bir yük yürütür.
Daha sonra Azure ortamının toplam mülkiyetine ulaşarak kiracı kök yönetim grubunda “kullanıcı erişim yöneticisi” na yükselirler.
Saldırı zinciri tespit edilebilir ve önlenebilir:
- Depolama hesaplarına halkın erişimini devre dışı bırakma ve güvenli aktarımın uygulanması (TLS 1.2)
- Kaynak Yöneticisi için Azure Reklam Denetimi Günlüklerini, Oturum Açma Günlüklerini ve Defans’u Etkinleştirme
- Ayrıcalıklı roller için dinamik grup üyeliğinden kaçınmak
- Konuk Kullanıcı Davetiyelerini Kısıtlama
- Sırları güvenli bir şekilde saklamak ve otomasyon için yönetilen kimlikleri kullanmak
Bu saldırı yolu, bulut ortamlarında güvenli konfigürasyon, en az ayrıcalık ve uyanık izlemenin öneminin altını çiziyor.
Kuruluşlar, Azure kurulumlarını düzenli olarak gözden geçirmeli, en iyi uygulamaları uygulamalı ve bu tür tam ölçekli uzlaşmaları önlemek için şüpheli faaliyetlere hızlı bir şekilde yanıt vermelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin