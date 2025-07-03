Mi investigación sobre Microsoft Azure comenzó durante una reciente operación del equipo rojo en la que nos encontramos con un script de PowerShell que contenía un secreto de la entidad de servicio codificado que era responsable de implementar Arc en los sistemas de las instalaciones. No sabía mucho sobre el servicio, así que comencé a investigar un poco para determinar qué podíamos hacer con las credenciales recuperadas. Terminamos siendo capaces de utilizar técnicas documentadas en investigaciones anteriores sobre este tema para obtener la ejecución de código en un controlador de dominio y volver a pivotar en Microsoft Azure, pero esto me hizo pensar en algunas cuestiones más amplias relacionadas con Arc: ¿Cómo se identifica en entornos? ¿Qué (malas) configuraciones podrían existir que permitieran la escalada? ¿Qué otros vectores de ejecución de código existen dentro de él? ¿Podría utilizarse como un mecanismo de persistencia fuera de banda?

Entonces, ¿qué es Azure Arc? A un alto nivel, amplía las capacidades de gestión nativas de Azure a una variedad de Recursos que no son de Azure, como sistemas en las instalaciones, clústeres de Kubernetes e implementaciones de VCenter, lo que permite que estos sistemas se gestionen a través de Resource Manager de la misma manera que lo haría un host nativo de Azure. Una vez que el agente de Arc se implementa en un host, registra el recurso subyacente en Azure y expone un conjunto de características de gestión: supervisión, aplicación de políticas, gestión de actualizaciones, etc. Sin embargo, lo que más me interesó fue la posibilidad de utilizarlo para descargar archivos de forma remota y ejecutar comandos desde un proceso de confianza en el contexto de NT_AUTHORITY\SYSTEM. Aunque parte de la funcionalidad de Arc se solapa con Intune, Arc está diseñado específicamente para gestionar infraestructuras y servidores, no para endpoints o dispositivos móviles.

Arc no es muy nuevo (se lanzó originalmente en 2019), y otras investigaciones anteriores han descrito cómo se puede utilizar para ejecutar código y persistir en entornos. Además, la investigación existente sobre el ataque a las máquinas virtuales (VM) de Azure se solapa significativamente con Arc, ya que los sistemas de las instalaciones configurados con Arc se pueden gestionar en Azure de forma muy similar a una máquina virtual nativa de Azure. Con este blog, espero proporcionar un poco más de contexto centrándome en áreas no exploradas tan a fondo en la investigación existente, así como describiendo el uso ofensivo de la plataforma dentro de un flujo de trabajo típico de red teaming y proporcionando orientación defensiva complementaria para las implementaciones de Azure Arc .