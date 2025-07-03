Mes recherches sur Microsoft Azure ont commencé lors d'une opération récente de l'équipe rouge où nous sommes tombés sur un script PowerShell contenant un secret de Service Principal codé en dur qui était responsable du déploiement d'Arc sur les systèmes sur site. Je ne savais pas grand-chose sur ce service et j'ai donc commencé à faire des recherches pour déterminer ce que nous pourrions faire avec les identifiants récupérés. Nous avons finalement pu utiliser des techniques documentées dans des recherches antérieures sur ce sujet pour obtenir l'exécution de code sur un contrôleur de domaine et revenir vers Microsoft Azure, mais cela m'a amené à réfléchir à des questions plus générales concernant Arc : comment l'identifier dans les environnements ? Quelles sont les (mauvaises) configurations qui pourraient permettre une escalade ? Quels autres vecteurs d’exécution de code existent à l’intérieur ? Pourrait-il être utilisé comme mécanisme de persistance hors bande ?
Alors, qu'est-ce qu'Azure Arc ? De manière générale, il étend les capacités de gestion natives d'Azure à diverses ressources non Azure telles que les systèmes sur site, les clusters Kubernetes et les déploiements VCenter, permettant ainsi de gérer ces systèmes via Azure Resource Manager de la même manière qu'un hôte natif Azure. Une fois que l'agent Arc est déployé sur un hôte, il enregistre la ressource dans Azure et expose une suite de fonctionnalités de gestion : surveillance, application de politiques, gestion des mises à jour, etc. Cependant, ce qui m'intéressait le plus était la possibilité de l'utiliser pour télécharger des fichiers à distance et exécuter des commandes à partir d'un processus fiable dans le contexte de NT_AUTHORITY\SYSTEM.Bien que certaines fonctionnalités d'Arc recoupent celles d'Intune, Arc est spécialement conçu pour gérer l'infrastructure et les serveurs, et non les points de terminaison ou les appareils mobiles.
Arc n'est pas tout à fait nouveau (il a été initialement lancé en 2019), et d'autres recherches antérieures ont montré comment il peut être utilisé pour exécuter du code et persister dans des environnements. De plus, les recherches existantes sur les attaques contre les machines virtuelles (VM) Azure présentent des similitudes importantes avec Arc, car les systèmes sur site configurés avec Arc peuvent être gérés dans Azure de la même manière qu'une VM native Azure. Avec cet article, j'espère apporter un peu plus de contexte en me concentrant sur des domaines qui n'ont pas été explorés de manière approfondie dans les recherches existantes, ainsi qu'en décrivant l'utilisation offensive de la plateforme dans un workflow typique de red teaming et en fournissant des conseils défensifs pour les déploiements Azure Arc.
Avant d'entrer dans les détails de l'attaque d'Arc, je l'ai configuré dans un environnement de test afin de mieux comprendre le fonctionnement du service et le processus de déploiement. Arc étant un service Azure, il nécessite un abonnement et un groupe de ressources en aval auquel associer les ressources gérées. L'accès est également géré par la suite via des rôles de contrôle d'accès basé sur les rôles (RBAC) Azure attribués à ces périmètres. Si vous souhaitez configurer cela dans votre propre laboratoire, veuillez noter que vous devrez vous inscrire auprès des fournisseurs de ressources suivants dans votre abonnement sous Abonnements -> (votre abonnement) -> Paramètres -> Fournisseurs de ressources :
Une fois ces conditions préalables remplies, un compte disposant des rôles appropriés attribués sur l’abonnement associé à Arc peut être utilisé pour accéder au service, où vous trouverez une fenêtre de gestion générale.
Comme nous n’avons pas encore déployé Arc nulle part, nous allons immédiatement passer à l’interface Ajouter des Ressources. Ce menu contient des options de déploiement et de découverte pour divers types d’appareils, mais la fonctionnalité de la machine qui nous permet de gérer les serveurs Windows et Linux hébergés en dehors du locataire Azure actuel est la plus intéressante. En cliquant ici, vous verrez s’afficher diverses options pour un déploiement sur un ou plusieurs hôtes.
Dans cette interface, les options Serveur unique et Windows Server avec installateur sont plus adaptées aux déploiements ponctuels, tandis que les options AWS / Gestion des mises à jour sont davantage axées sur les appareils cloud natifs déjà gérés via Azure ou AWS. Dans ce cas, c'est l'option de déploiement sur plusieurs serveurs qui nous intéresse le plus, car il s'agit probablement de la solution la plus couramment utilisée par un administrateur informatique dans le cadre d'un scénario de déploiement d'entreprise hybride.
En cliquant sur l'option de serveurs multiples, le workflow de déploiement pose ensuite diverses questions de base concernant l'abonnement, le groupe de ressources et la région auxquels les appareils gérés par Arc doivent être associés. Tout est assez simple jusqu'au bas de cette page, où il nous est demandé de saisir un principal de service à utiliser pour l'enregistrement des appareils lors de ce déploiement. Le bloc de texte ci-dessous indique essentiellement que vous avez besoin d'un principal de service configuré avec le rôle Azure Connected Machine Onboarding (Intégration des machines connectées à Azure) pour effectuer un déploiement, et vous offre également la possibilité de créer un nouveau principal de service avec le rôle approprié attribué.
Dans ce cas, nous créerons un nouveau principal de service Test_Arc_SP pour notre déploiement.
Cette interface de création demande ensuite quels rôles nous accordons à notre nouveau principal de service. Nous pouvons sélectionner n'importe laquelle des options, y compris le rôle intéressant d'Azure Connected Machine Resource Administrator (administrateur des ressources de la machine connectée Azure), sans autre contexte ni avertissement sur les privilèges que ces rôles confèrent.
Enfin, l'un des quatre mécanismes pris en charge pour déployer Arc sur des hôtes locaux nous est présenté, comme illustré dans l'image ci-dessous. Nous aborderons chacun de ces points de manière un peu plus approfondie dans la section Accéder à Arc ci-dessous.
Une fois qu’Arc est déployé avec le type d’installation choisi et qu’il est connecté à Azure, le nouveau système client apparaîtra sous Azure Arc -> ressources Azure Arc.
Lorsque j'ai réfléchi à l'utilisation offensive d'Arc, la première question que je me suis posée était la suivante : « Lorsque je me trouve dans un environnement d'entreprise hybride, quelles mesures de détection puis-je mettre en œuvre pour déterminer si Arc est utilisé ? » Ces indicateurs peuvent être classés en deux catégories : Azure et sur site.
L'accès à Arc est contrôlé via Azure RBAC, ce qui signifie que l'accès au service et même la visibilité de base sur son utilisation ne sont pas du ressort des objets auxquels aucun rôle n'est attribué dans le cadre d'un abonnement associé à un déploiement Arc. Cela étant dit, il existe encore quelques méthodes indirectes qui peuvent nous permettre de déterminer si Arc est utilisé et même sur quels systèmes il est probablement installé, et qui peuvent être identifiées par un utilisateur Entra non privilégié. En parcourant les étapes du processus de déploiement ci-dessus, il y a plusieurs points où des objets sont ajoutés ou modifiés dans Microsoft Entra qui peuvent être observés pour déterminer si Arc est utilisé au sein d'un locataire.
Premièrement, lorsqu’un abonnement dans un environnement Azure est configuré avec les fournisseurs de ressources nécessaires à Arc (par exemple, Microsoft.HybridCompute), deux principaux de service intitulés Arc Token Service et Arc Public Cloud – Servers sont créés. Cela ne signifie pas nécessairement qu'Arc a effectivement été déployé au sein d'une entreprise, mais qu'au moins un abonnement par locataire a été configuré de manière à ce que le service soit pris en charge. Un exemple de cela est présenté ci-dessous dans un nouveau locataire Azure, avant et après la configuration des fournisseurs de ressources nécessaires pour Arc.
Dans le cadre du processus de déploiement, un principal de service est utilisé pour connecter les appareils à Arc, comme indiqué dans le processus de déploiement décrit dans la section précédente. Il peut s'agir soit d'un principal de service préexistant auquel les rôles RBAC nécessaires ont été attribués manuellement, soit d'un principal de service généré automatiquement via l'interface de déploiement Arc. Si un administrateur crée un principal de service directement via Arc, celui-ci est automatiquement configuré avec la balise AzureArcSPN par Azure, qui peut être recherchée par un utilisateur Entra non privilégié, soit directement à partir de la ligne de commande Azure, soit à partir des résultats de collecte de ROADrecon et AzureHound. Bien que cela ne fournisse pas non plus de preuve concrète que Arc a effectivement été déployé, un principal de service configuré de cette manière montrerait qu'un administrateur de ce locataire a au moins interagi avec les étapes du processus de déploiement d'Arc. Vous trouverez ci-dessous un exemple de création d'un principal de service via Arc, ainsi que les données de balise identifiables collectées par ROADrecon.
Enfin, lorsqu’un système est intégré à Arc, une identité gérée est créée dans Entra pour la machine et des rôles peuvent être attribués dans Entra et Azure comme n’importe quel autre principal de service. Puisque cette identité gérée est présente dans Entra, par défaut, un principal non privilégié peut énumérer les systèmes embarqués dans Arc en filtrant les données Azure Recon collectées pour rechercher des appareils avec un ResourceID contenant Microsoft.HybridCompute (notez que cela diffère d’un appareil hybride joint dans Entra et ne devrait pas générer de faux positifs). Si vous avez accès à la ligne de commande Azure, ce processus est assez simple et utilise la commande suivante :
Cette longue chaîne ResourceID présente également l'avantage supplémentaire de contenir l'ID d'abonnement et le groupe de ressources auquel le système est associé, ce qui permet d'identifier plusieurs déploiements Arc couvrant différents environnements.
Par ailleurs, si vous avez collecté des données Azure via ROADrecon ou AzureHound, vous pouvez analyser ces résultats afin d'identifier les objets gérés par Arc. Dans ROADrecon, les informations pertinentes sont stockées dans le ResourceID, et dans les fichiers de collecte JSON d’AzureHound, les mêmes informations sont stockées dans l’attribut AlternativeNames. Bien qu’il ne semble pas que cet attribut soit copié dans BloodHound ou qu’il ne soit pas directement accessible, une recherche directe dans le fichier JSON peut permettre de récupérer une liste complète des objets gérés.
Les indicateurs sur site du déploiement Arc se répartissent en deux catégories : localhost et réseau. Lorsque le client Arc est installé sur un système, il crée le dossier C:\Program Files\AzureConnectedMachineAgent, qui contient tous les fichiers pertinents liés au client Arc. La présence de ce dossier, ainsi que des processus et services liés à Arc (par exemple, gc_arc_service.exe ou arcproxy.exe), peut fournir des éléments simples à vérifier. De plus, en fonction du mécanisme de déploiement utilisé pour transférer le client Arc vers les systèmes du réseau, d'autres éléments peuvent être recherchés. Par exemple, si Arc est déployé via GPO, le processus d'installation crée un GPO généré automatiquement nommé [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).
Par conséquent, si nous avons identifié qu'Arc est utilisé dans un environnement, comment pouvons-nous y accéder ? Pour répondre à cette question, il est important de comprendre d'abord ce qui constitue spécifiquement l'accès qui nous intéresse. Étant donné que l'objectif principal de l'accès est généralement d'exécuter du code sur un point de terminaison géré, il peut être utile de partir des autorisations qui permettent l'exécution de code pour remonter jusqu'aux rôles Azure qui accordent ces autorisations. Cela peut constituer un bon point de départ pour identifier les comptes et les rôles qui pourraient nous intéresser. En nous référant aux recherches antérieures de Benedikt Strobl chez NSIDE Attack Logic, nous constatons que nous pouvons exécuter une requête PowerShell qui permettra d'obtenir tous les rôles accordant des autorisations qui activent au moins un mécanisme d'exécution de code via Arc (nous reviendrons plus en détail sur ces mécanismes dans la section suivante). La requête et le résultat obtenu sont visibles ci-dessous :
Outre quelques rôles étranges qui sortent du lot, comme celui de Log Analytics Contributor, l'un des plus intéressants est celui d'Azure Connected Machine Resource Administrator (administrateur des ressources des machines connectées Azure). Si vous vous souvenez de la section précédente consacrée au processus de déploiement d'Azure Arc, il s'agissait de l'un des rôles pouvant être attribués au principal de service créé lors du processus de déploiement d'Arc.
Cela signifie essentiellement que le principal de service de déploiement, dont le secret sera nécessairement accessible sur le réseau local, n'est plus qu'à une case à cocher (une case sans avertissement ni contexte supplémentaire sur les risques) de devenir administrateur dans Arc. Un principal de service auquel ce rôle administratif a été attribué par inadvertance lors de sa création pourrait non seulement être utilisé pour enregistrer de nouveaux clients Arc dans Azure, mais aussi pour exécuter des commandes sur n'importe quel client Arc installé. C'est cette omission compréhensible que nous avons identifiée et exploitée lors de notre récente évaluation, ce qui nous a permis d'élever nos privilèges via Arc et de prendre le contrôle de l'environnement sur site du client.
Ce principal de service de déploiement semble constituer une cible initiale appropriée, en particulier si vous ne disposez pas des privilèges nécessaires pour obtenir la liste des autres comptes auxquels sont attribués les autres rôles mentionnés permettant l'exécution de code. Mais comment pourriez-vous essayer d’y accéder ? Premièrement, et probablement de la manière la plus directe, si vous disposez d'un accès dans Entra pour accéder à un principal de service associé à Arc en y ajoutant un secret (par exemple, propriétaire du principal de service, administrateur d'application, etc.), vous pouvez modifier directement l'objet et l'utiliser ensuite pour vous authentifier, ce qui vous permet potentiellement d'obtenir un accès privilégié à Arc. Par ailleurs, les mécanismes de déploiement utilisés par Arc peuvent également être mal configurés ou permettre une escalade via la récupération du secret du principal de service de déploiement. Nous examinerons ensuite chacun des quatre principaux mécanismes de déploiement d'entreprise pris en charge par Arc afin d'identifier les voies d'escalade potentielles à surveiller.
La méthode de déploiement par défaut et la plus basique pour Arc est de télécharger un script PowerShell auto-généré qu'un administrateur informatique peut exécuter sur plusieurs systèmes. Ce script extrait l’installateur MSI pertinent depuis le site web de Microsoft et effectue ensuite la configuration suivante pour connecter le client installé au bon locataire Azure. Il est intéressant de noter que le mécanisme d'authentification par défaut pris en charge dans ce script généré automatiquement consiste à coder en dur le secret du principal de service utilisé pour le déploiement dans le script.
Étant donné que ce mécanisme de déploiement est très simple, il n'y a pas grand-chose à ajouter concernant l'obtention d'un accès, si ce n'est de rester vigilant lors de la surveillance normale du partage de fichiers pour les scripts PowerShell dont le nom par défaut est OnboardingScript.ps1, ainsi que pour les scripts dont le nom ou le contenu est lié à Arc.
La sélection de Configuration Manager (Gestionnaire de configuration) pour le déploiement génère un script PowerShell identique à celui ci-dessus, la principale différence étant qu'Arc fournit des instructions supplémentaires sur la manière de déployer le script directement via System Center Configuration Manager (SCCM) de Microsoft, soit par une exécution directe du script, soit sous forme de séquence de tâches.
Bien qu'il s'agisse des deux mécanismes recommandés pour le déploiement, un administrateur informatique peut également utiliser un autre mécanisme de déploiement via SCCM, tel que l'installation d'un package ou d'une application. Quelle que soit l'option de déploiement utilisée, il est important de garder à l'esprit le concept de collectes dans SCCM, qui servent de champ d'application cible pour le déploiement de séquences de tâches et (éventuellement) de scripts. Tenter de récupérer des données SCCM à partir d'un hôte aléatoire dans l'environnement ne donnera probablement pas de bons résultats, car si l'hôte ne fait pas partie de la collection appropriée, il ne sera généralement pas en mesure de récupérer les informations pertinentes. Au lieu de cela, se déplacer latéralement vers un hôte identifié comme client Arc (ou mieux encore, un point de gestion SCCM ou un serveur de base de données) puis effectuer une détection SCCM donnera probablement de meilleurs résultats.
Le gestionnaire de configuration SCCM contient une fonctionnalité qui permet aux administrateurs d'exécuter des scripts PowerShell sur les systèmes gérés. Les scripts ne sont pas récupérés par le client SCCM de la même manière que les séquences de tâches ou les packages ; ils sont plutôt envoyés du serveur à la demande aux systèmes clients. Pour tester cela, nous pouvons créer un script simple dans le Gestionnaire de configuration SCCM en utilisant le script de déploiement Arc généré automatiquement. Nous laisserons le secret intact pour le moment, car le système sur lequel nous déployons Arc est déjà installé.
Lorsque le script est déployé via SCCM, il est copié dans le répertoire C :\Windows\CCM\ScriptStore du système client et configuré avec une liste de contrôle d'accès discrétionnaire (DACL) qui restreint l'accès uniquement à NT_AUTHORITY\SYSTEM, avant d'être exécuté par le client SCCM. Les fichiers de ce dossier sont périodiquement nettoyés en fonction de configurations spécifiques à l’instance, mais il est judicieux de vérifier s’il s’agit de ce script ou d’autres scripts susceptibles de contenir des données sensibles.
Par ailleurs, si vous avez accès à la base de données SCCM, vous pouvez récupérer directement tous les scripts créés dans SCCM à l'aide du module ScriptData de SQLRecon. Vous trouverez ci-dessous un exemple du résultat obtenu après avoir exécuté ce module sur la base de données du site pour une instance SCCM configurée avec un script permettant de déployer Arc.
En réalité, le déploiement via un script SCCM n'est probablement pas très probable dans la pratique, car l'exécution d'un script SCCM est un processus manuel et ponctuel. Si de nouveaux serveurs sont mis en ligne et doivent être ajoutés à Arc à l'avenir, un administrateur devra se rappeler d'exécuter à nouveau le script pour l'appliquer à d'autres systèmes.
Un processus de déploiement plus automatisé et évolutif consisterait à utiliser une séquence de tâches appliquée à une collection SCCM. Pour tester ce mécanisme, nous pouvons créer une séquence de tâches simple qui exécute le script de déploiement Arc et la déployer dans une collection SCCM contenant un système à partir duquel nous exécutons.
Après avoir déployé ce script, nous pouvons exécuter la commande get secrets (obtenir les secrets) dans SharpSCCM pour récupérer les séquences de tâches accessibles contenant des scripts, car les stratégies contenant des scripts sont accompagnées du drapeau secret.
La propriété SourceScript dans la stratégie pertinente contient une représentation b64 du script original transmis. La conversion en texte clair nous permet de récupérer le script d’origine.
De manière similaire aux options disponibles lors de la récupération d'un script, si nous avons accès à la base de données du site SCCM, nous pouvons également récupérer directement les données de séquence de tâches à l'aide de SQLRecon.
Le déploiement d'Arc via la stratégie de groupe est légèrement plus complexe que les deux mécanismes précédents et comprend plusieurs étapes, à commencer par la configuration d'un partage réseau vers lequel le script, exécuté via un objet de stratégie de groupe (GPO), peut pointer. Les directives officielles indiquent utilement que tous les ordinateurs du domaine doivent disposer d'un accès en lecture et en écriture à ce partage, ce qui signifie que si ce mécanisme de déploiement est utilisé, le secret du principal de service doit pouvoir être récupéré à partir de n'importe quel contexte NT_AUTHORITY\SYSTEM dans le domaine.
Après avoir configuré le partage et téléchargé et copié le fichier MSI du client Arc, l'étape suivante consiste à télécharger un dépôt GitHub contenant les scripts PowerShell et les DLL associées qui sont utilisés pour créer automatiquement le GPO.
Enfin, un script PowerShell qui appelle les fichiers téléchargés depuis GitHub est généré, avec des arguments basés sur l’emplacement du partage de déploiement Arc précédemment configuré.
L’exécution de ce script PowerShell résultant provoquera la création d’une GPO, qui crée une tâche planifiée installant le client Arc en utilisant les fichiers hébergés sur le partage de déploiement réseau et le connectant à Azure. Cette GPO peut ensuite être liée à une unité organisationnelle (UO) contenant des systèmes sur lesquels déployer Arc.
Si un objet de stratégie de groupe (GPO) correspondant à cette convention de nommage est identifié lors d'une détection Active Directory standard, les fichiers GPO peuvent être examinés afin de déterminer l'emplacement du partage réseau contenant les fichiers de déploiement.
Avec un certain type d'accès dans le contexte de NT_AUTHORITY\SYSTEM, ce partage peut être consulté à distance (s'il a été créé avec l'accès par défaut / recommandé par Microsoft), ce qui donnera le résultat suivant :
Le fichier le plus intéressant est le fichier encryptedServicePrincipalSecret, dont le nom est extrêmement explicite. Un coup d’œil au script EnableAzureArc.ps1 montre que ce secret est un blob chiffré avec DPAPI-NG.
DPAPI-NG (ou Cryptographic Next Generation [CNG] DPAPI) permet non seulement d'utiliser les fonctionnalités de chiffrement et de déchiffrement DPAPI spécifiques à un utilisateur ou à une machine, mais également d'effectuer des opérations basées sur l'appartenance d'un objet. Par exemple, dans ce cas, le blob DPAPI-NG dans encryptedServicePrincipalSecret est configuré pour permettre à tout membre du groupe d'ordinateurs du domaine de le déchiffrer. J'ai créé un script PowerShell très simple à titre de preuve de concept, mais il devrait être assez simple de traduire le code de AzureArcDeployment.psm1 (qui n'est lui-même qu'un wrapper autour du code .NET) en un assemblage pouvant être exécuté en mémoire sur une balise dans le contexte de NT_AUTHORITY\SYSTEM afin de récupérer et de déchiffrer le secret.
Enfin, toutes les autres informations de connexion pertinentes, telles que l'ID du principal de service, l'ID d'abonnement, etc., se trouvent dans le fichier ArcInfo.json, également situé dans le même partage de déploiement.
La dernière option de déploiement officielle génère un playbook Ansible très similaire aux scripts PowerShell présentés ci-dessus. Les spécificités de l'attaque Ansible varient beaucoup en fonction de la configuration et de l'environnement, c'est pourquoi nous ne nous étendrons pas davantage sur ce mécanisme de déploiement.
Bien qu’Arc prenne en charge la gestion des hôtes Linux, les méthodes de déploiement disponibles directement dans la lame Arc dans Azure sont fortement orientées vers les appareils Windows. Les déploiements Linux sont pris en charge par l’utilisation d’un script bash, mais de la même manière que les déploiements Ansible, ils auront probablement un degré de variation beaucoup plus élevé lorsqu’ils seront appliqués dans un environnement d’entreprise.
Pour la suite, supposons que nous ayons réussi à récupérer le secret d'un principal de service et que ce principal de service (ou un autre compte récupéré) dispose de privilèges d'exécution dans Arc. Comme l'objectif principal d'Arc est d'exposer les appareils sur site au plan de contrôle Azure, une variété de primitives d'exécution de code typiquement associées aux machines virtuelles Azure entrent en jeu pour accéder aux hôtes sur site sur lesquels le client Arc est installé. Toutefois, si l'on se concentre sur les possibilités d'exécution qui ne requièrent que les autorisations spécifiques à l'Arc mentionnées ci-dessus, on obtient deux grandes catégories d'actions d'exécution : les commandes d'exécution et les ajouts/modifications d'extensions. Les deux vecteurs d'exécution fonctionnent de manière pratiquement identique à une exécution équivalente sur une machine virtuelle Azure et ont été largement documentés par d'autres dans des blogs/outils précédents. Nous n'entrerons donc pas dans les détails au-delà de leur utilisation opérationnelle et de quelques particularités intéressantes qui ne sont pas aussi largement documentées.
La commande d'exécution est une sorte de pseudo-extension qui partage de nombreuses caractéristiques sur disque et spécificités de l'arborescence d'exécution avec d'autres extensions, mais qui est automatiquement installée avec Arc et n'apparaît pas dans la liste des extensions installées d'un système géré. Cette fonctionnalité permet d'exécuter facilement des commandes sur un client géré via Arc, la principale condition préalable étant que la version du client soit >= 1.33. Vous pouvez vérifier cela à l'aide de la commande az connectedmachine show, comme indiqué ci-dessous.
Notez que tenter d’exécuter une commande via la ligne de commande az (CLI) nécessite non seulement les autorisations d’écriture mentionnées précédemment mais aussi des privilèges de lecture sur le groupe de ressources, ce que par défaut un principal de service généré automatiquement n’aura pas. Par conséquent, toute tentative d'exécution d'une commande directement à partir de la CLI d'az entraîne une erreur.
Vous pouvez contourner ce problème en interagissant directement avec l'API REST d'Azure, mais il ne sera pas possible de récupérer les résultats des commandes exécutées. Dans cet exemple, nous allons créer une tâche d’exécution nommée « run-notePad », qui se lance simplement dans « notePad.exe » sur le système client.
La commande transmise est écrite dans un script PowerShell dans le dossier C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads , avec un nom correspondant au nom de la tâche d'exécution créée dans Arc et finalement exécutée dans le contexte de NT_AUTHORITY\SYSTEM.
Ce script PowerShell n’est pas automatiquement supprimé à la fin de l’exécution, bien que des exécutions supplémentaires d’un job d’exécution portant le même nom entraînent la suppression du script original et la création d’un nouveau script avec un suffixe itéré, comme indiqué ci-dessous.
En plus de ce script, plusieurs autres fichiers sont créés sur le disque lors de chaque exécution de la commande d'exécution. Ces questions seront abordées plus en détail dans la section consacrée aux conseils défensifs.
De plus, n'oubliez pas qu'une commande d'exécution crée un objet dans Azure qui doit ensuite être supprimé une fois l'exécution terminée. Étant donné que cette action ne s'applique pas au niveau du groupe de ressources, elle peut être exécutée directement via la CLI d'az.
Les fonctionnalités des clients Arc peuvent être étendues grâce à l'installation de diverses extensions approuvées par Microsoft, comme pour les machines virtuelles Azure. L'extension la plus souvent utilisée est Custom Script Extension (CSE) pour Windows, qui permet à la fois l'exécution de commandes arbitraires et le téléchargement de fichiers via Internet. Cependant, d'autres extensions proposent différents arbres d'exécution qui peuvent aider à échapper à une détection statique axée sur l'exécution d'un CSE. Nous examinerons ensuite l'exécution via un CSE, ainsi que l'extension Windows Admin Center.
En supposant que vous exécutiez dans le contexte d’un principal de service provisionné avec le rôle Azure Connected Machine Resource Administrator dans un abonnement avec les paramètres par défaut, vous devrez à nouveau envoyer des commandes via l’API REST d’Azure. Avant l'exécution, il est important de noter qu'une seule copie d'une extension peut être déployée sur un hôte à un moment donné. Par conséquent, si une extension CSE a déjà été ajoutée à l'hôte cible, il est nécessaire de mettre à jour l'extension existante plutôt que d'en créer une nouvelle. La liste des extensions actuellement installées sur un hôte peut être récupérée depuis la CLI d'az à l'aide de la commande suivante :
Dans ce cas, aucune extension n’est encore installée sur cet hôte :
Plusieurs arguments sont requis lors de la création d'un CSE, le plus important étant l'argument protectedSettings, car il contient un attribut facultatif commandToExecute. C'est dans cet attribut que sont placés les arguments d'exécution de la commande. Vous trouverez ci-dessous un exemple de commande CLI d'az qui peut être exécutée avec l'API REST pour créer un CSE qui ouvre le bloc-notes :
L'exécution de cette commande entraîne à nouveau une exécution dans le contexte de NT_AUTHORITY\SYSTEM.
Une fois qu'un CSE a été créé, vous pouvez également vérifier son statut actuel via l'API REST, à l'aide d'une commande au format suivant :
En exécutant cette opération, nous pouvons constater que le déploiement du CSE reste dans un état d'exécution jusqu'à ce que le processus qu'il a lancé soit terminé sur le système client.
Il est important de garder ce comportement à l'esprit, car les extensions ne peuvent pas être bloquées de force, même en tentant de supprimer le CSE. Par conséquent, si vous lancez une CSE qui engendre un processus de longue durée qui ne vous donne pas accès au système, et que vous ne disposez pas d’un autre mécanisme (comme les commandes d’exécution) pour vous permettre d’arrêter le processus, vous pourriez potentiellement vous empêcher d'accéder à d'autres exécutions CSE jusqu'au redémarrage de la machine. De plus, si vous utilisez un CSE comme mécanisme pour déployer une balise C2, il est recommandé de migrer hors du processus d'origine afin de pouvoir nettoyer l'objet CSE.
Pour poursuivre, supposons que nous souhaitions réaliser une opération plus avancée avec notre exécution CSE que simplement ouvrir le bloc-notes. Plusieurs options sont disponibles pour mettre à jour notre CSE actuel. Nous pouvons soit effectuer la mise à jour sur place, soit supprimer l'extension CSE et la redéployer. La mise à jour sur place est plus simple, mais elle nécessite que l'exécution CSE précédente ait atteint un certain état (par exemple, réussie ou échouée) avant de s'exécuter. Pour mettre à jour un CSE déjà existant, vous pouvez simplement modifier et soumettre à nouveau la commande originale que vous avez transmise à l’API REST pour la créer, en changeant la valeur de l’attribut commandToExecute pour la commande mise à jour. Cela présente l'avantage supplémentaire de conserver la structure des dossiers CSE sur le système client entre les exécutions.
J'ai constaté que, dans certains cas, le CSE peut se bloquer dans un état Creating (création), même lorsque le processus qu'il a exécuté ne s'exécute plus sur le système client. La meilleure méthode que j'ai trouvée pour identifier cet état consiste à vérifier la liste des extensions sur l'hôte concerné, qui affichera probablement l'hôte dans un état provisioningState de Creating, mais si un processus est toujours en cours d'exécution sur l'hôte, vous remarquerez également un message de statut indiquant que l'exécution est en cours.
Si vous constatez que votre CSE se trouve dans cet état « En cours de création, mais ne s'exécute pas actuellement » (Creating, but not actually running), la meilleure approche consiste à le supprimer entièrement (si vous êtes certain que le processus que vous avez exécuté avec celui-ci ne s'exécute plus), ce qui peut être réalisé à l'aide de la commande suivante :
Tenter de supprimer un CSE alors que l'exécutable sous-jacent est toujours en cours d'exécution (par exemple, une balise https s'exécutant en tant que NT_AUTHORITY\SYSTEM qui ne peut pas quitter le système en raison des contrôles proxy) n'entraînera pas la fin du processus, ni la suppression du CSE. Au contraire, cela peut entraîner le blocage indéfini de l'extension CSE dans un état Deleting (suppression), la seule solution complète que j'ai identifiée étant de supprimer l'objet parent Hybrid Identity d'Azure, de désinstaller le client Arc du système géré et de tout réinstaller. Cela peut sembler inquiétant, mais une fois que j'ai compris cela, il m'a suffi de cinq minutes pour que tout fonctionne à nouveau.
Autre chose à garder à l’esprit concernant la suppression des CSE : le processus de suppression supprime le dossier C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension du disque du système client, effaçant ainsi tous les fichiers que vous auriez pu télécharger ou modifier dans cette structure. De plus, le traitement de la commande de suppression CSE dans Azure prend entre trois et cinq minutes ; ceci est normal.
L'une des choses intéressantes qu'un CSE peut faire en plus d'exécuter des commandes est de télécharger des fichiers à partir d'Internet. Un tableau de fichiers peut être spécifié sous l’arg de paramètres dans l’attrib de fileUris, qui permet de télécharger des fichiers dans le dossier C :\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator]. Cette structure de dossiers est conservée jusqu’à la suppression de la CSE dans Azure. Tout ce qui est lié à l’extension CSE est alors supprimé du disque. Cela signifie que vous pouvez créer un script qui copiera les fichiers de ce dossier vers un autre endroit du disque, ce qui permet de créer un mécanisme de contrebande de fichiers qui ne repose pas sur un berceau de téléchargement web traditionnel. Comme ces fichiers subsistent une fois qu'ils sont déplacés en dehors du répertoire par défaut, ils peuvent être copiés, puis exécutés avec une CSE ultérieure provenant d'ailleurs sur le disque, ce qui brise une détection statique dépendante de l'identification des exécutions à partir du dossier de téléchargements CSE précédemment noté.
Lors de la création d'une logique plus avancée comme celle-ci, dont le succès n'est pas garanti, il est également utile de pouvoir récupérer une sortie indiquant si l'exécution a réussi ou non. Bien que nous ne puissions pas récupérer directement la sortie des exécutions CSE, des codes de sortie sont renvoyés, ce qui signifie que nous pouvons inclure des branchements conditionnels dans notre code qui se terminent avec un code spécifique en fonction de l'état actuel du programme (par exemple, copie de fichier réussie). En assemblant ces éléments, mettons en place une démonstration très élaborée qui effectue les opérations suivantes :
Un simple script PowerShell capable d'accomplir ces tâches ressemblerait à ceci :
En formatant ceci avec toutes les commandes nécessaires pour permettre à ce script d'être transmis dans un blob JSON via l'API REST az, nous obtenons une commande qui ressemble à ce qui suit :
Nous exécutons la commande ci-dessus, et après avoir attendu une minute, nous pouvons vérifier son état à l'aide de la commande az connectedmachine extension list. L'exécution de ce programme montre que nous avons obtenu un code de sortie 10, ce qui indique une exécution réussie. Le message d’erreur est un message générique indiquant un code de retour non nul, ce qui ne nous concerne pas.
En vérifiant le système à distance, nous pouvons également nous assurer que les fichiers ont bien été copiés.
Comme nous pouvons le constater, ce code commence à se compliquer assez rapidement. Pour simplifier encore les choses, il serait également possible de télécharger un script PowerShell en l'ajoutant au tableau fileUris et en l'appelant à partir de l'attribut commandToExecute.
Avant de poursuivre, permettez-moi de partager une dernière idée sur la manière dont vous pourriez améliorer la discrétion de cette technique en modifiant son empreinte d'exécution. Si vous vous souvenez de notre lancement initial du processus via CSE, cmd.exe apparaissait en haut de l'arborescence d'exécution, sans processus parent facilement identifiable.
En examinant ce processus cmd.exe situé tout en haut, on constate que l'ID du processus parent (PID) 5068 n'existe pas.
Nous pouvons approfondir notre analyse avec Process Monitor, qui nous montre que notre mystérieux ID de processus parent (PPID) 5068 était en réalité une autre instance de cmd.exe, qui a créé notre arborescence de processus actuelle via un appel cmd /c. Ce processus mystérieux cmd a lui-même été engendré par gc_extension_service.exe dans le PID 3588 en exécutant le script enable.cmd.
En quoi tout cela est-il important ? Actuellement, nous disposons d'un arbre d'exécution relativement statique, allant de gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [tout ce que nous exécutons via CSE]. Si nous pouvions nous insérer plus haut dans cette chaîne, nous pourrions contourner les détections axées sur des exécutions suspectes provenant de cette arborescence de processus bien connue. Étant donné que ce fichier .cmd n'est qu'un script non signé exécuté par NT_AUTHORITY\SYSTEM à partir d'un emplacement connu à la suite d'un événement que nous contrôlons (création ou modification d'un CSE), il serait possible de modifier ce script afin de rediriger le flux d'exécution standard pour appeler directement un processus de notre choix. En supposant que notre seul vecteur d'exécution sur l'hôte passe par Arc, cela pose toutefois un problème de type « l'œuf ou la poule », car nous devrions exécuter via une arborescence de processus connue pour modifier ce fichier. Cependant, la modification du texte d'un fichier non signé est beaucoup moins détectable que d'autres actions post-exploitation classiques. Je n'entrerai pas dans les détails de cette modification (ou d'autres modifications similaires qui pourraient être apportées à d'autres extensions), mais je vous donne simplement une idée de ce que vous pourriez faire.
Jusqu'à présent, nous nous sommes concentrés sur les attaques possibles à l'aide de l'API REST non interactive du point de vue d'un principal de service surprovisionné configuré avec le rôle Azure Connected Machine Resource Administrator. Cependant, si nous disposons d'un compte ayant accès à l'interface utilisateur graphique (GUI) Web, l'éventail des actions possibles s'élargit considérablement. Il existe diverses extensions qui peuvent être transmises aux clients gérés et ouvrir de nouvelles possibilités d'exécution de code, mais lorsque j'ai exploré Arc, celle qui m'a le plus intéressé était Windows Admin Center (WAC). Arc peut déployer le composant de gestion back-end de Windows Admin Center, un outil de gestion à distance autonome publié par Microsoft, via une extension Arc. À ma connaissance, il n'est pas possible d'interagir directement avec cette extension via l'API REST Azure, mais diverses options de gestion du système sont exposées via l'interface utilisateur graphique une fois déployées chez un client.
Une fois l'extension WAC (lol) installée sur un système géré par Arc, on peut y accéder directement via le portail Arc en accédant à l'appareil géré, à condition que le rôle approprié vous soit attribué (ou que vous puissiez vous l'attribuer vous-même).
Une fois l'accès approprié configuré, vous pouvez vous connecter à l'interface de gestion et exécuter du code via divers mécanismes, notamment la création de processus, la création/modification de tâches planifiées, la modification de services et la modification du registre. Je ne vais pas entrer dans les détails de chacun de ces mécanismes, mais je vais rapidement aborder la création de processus à titre d'exemple illustrant certaines particularités de l'exécution via WAC.
La création d'un processus est probablement la manière la plus simple d'exécuter du code via WAC. Il suffit de saisir un processus à exécuter (avec des arguments facultatifs) et de cliquer sur « Go ».
Il est intéressant de noter que cela s'exécute dans le contexte d'un compte virtuel(WAC_[votre nom d'utilisateur azure]), mais dans un contexte à haute intégrité avec tous les privilèges de token, comme on peut le constater en redirigeant une commande whoami /priv vers un fichier texte sur le disque.
Le processus lui-même est généré en tant que processus enfant de WmiPrvSe.exe, une arborescence de processus familière pour ceux qui connaissent bien les mouvements latéraux via Process.Create. Lorsqu'une commande est exécutée de cette manière, le compte virtuel dispose d'un dossier utilisateur créé pour lui sur le disque, laissant derrière lui encore plus d'indicateurs de compromission (IOC) qui doivent être nettoyés. Il est toutefois très facile à utiliser.
En plus de ces vecteurs d'exécution de code, il existe diverses autres fonctionnalités de gestion telles que la navigation graphique dans les fichiers et les partages de fichiers, une fonctionnalité indispensable pour votre propre C2 dédié aux entreprises.
WAC dispose également d'un panneau de contrôle VM, qui permet l'installation d'Hyper-V sur le système géré, puis le déploiement et la gestion des machines virtuelles.
Cette fonctionnalité semblait initialement très prometteuse, mais j'ai rencontré des problèmes lorsque j'ai essayé de comprendre comment déployer un fichier ISO sur l'hôte. Le navigateur de fichiers de WAC dispose d'une fonctionnalité de téléchargement intégrée, mais la taille maximale de téléchargement est malheureusement assez faible. Cela impliquait la mise en place d'un mécanisme de secours afin d'obtenir une image ISO appropriée sur le système pour pouvoir créer une machine virtuelle. D'autres problèmes ont été constatés, qui pourraient également se présenter dans un environnement d'entreprise en ce qui concerne la virtualisation imbriquée. Étant donné que de nombreux systèmes en environnement d'entreprise sont généralement virtualisés, Intel VT-x / AMD-V doit être activé sur le système pour permettre la virtualisation imbriquée.
Enfin, avec toutes ces fonctionnalités de gestion disponibles, il existe de nombreuses attaques intéressantes que vous pourriez mener via le remplacement ou la modification de fichiers afin de détourner les actions effectuées en arrière-plan par Arc / WAC et masquer davantage toute action post-exploitation. Veuillez noter qu'il ne s'agit là que d'une des nombreuses extensions disponibles pour les clients gérés par Arc ; des vecteurs d'exécution de code similaires existent sans aucun doute dans d'autres extensions qui peuvent offrir des fonctionnalités supplémentaires.
Notez que WAC effectue ses propres installations autonomes et augmente ainsi considérablement l'espace disque occupé et les besoins de nettoyage associés à une compromission. De plus, les actions qui s’exécutent dans le contexte d’un compte WAC_ entraîneront des actions supplémentaires sur le disque, comme la création d’un dossier utilisateur, bien qu’aucun profil utilisateur local ne soit généré pour le compte. Cela étant dit, bien que cela constitue une approche intéressante qui ouvre de nombreuses possibilités d'exécution de code, je préfère l'éviter sur un serveur essentiel.
Supposons que vous ayez récupéré un secret de principal de service, mais qu'il ait été correctement provisionné pour permettre uniquement l'intégration de systèmes. Il peut néanmoins être utile d'essayer d'intégrer un système que vous contrôlez afin de vérifier si des installations ou des configurations automatisées contenant des informations d'identification supplémentaires sont transmises en aval vers votre système.
C'est un sujet dont je n'avais pas beaucoup entendu parler jusqu'au récent article d'Andy Gill sur l'utilisation d'Arc comme mécanisme C2. Arc est remarquable dans la mesure où il s'agit d'un produit Microsoft authentique qui communique directement avec des points de terminaison API reconnus au sein d'Azure, ce qui signifie qu'il est généralement ignoré par les produits EDR (Détection et réponse des terminaux). Bien que je ne recommande pas d'essayer d'opérer via Arc, il constitue un mécanisme hors bande intéressant pour la persistance en cas de défaillance dans un environnement. Même si un hôte est connecté de manière hybride à un environnement Entra, il n'est pas nécessaire qu'il se connecte à une instance Arc hébergée dans le même locataire. Cela signifie en réalité que si vous disposez d'un contexte à haute intégrité sur un hôte qui n'est pas encore géré via Arc, vous pouvez déployer votre propre client Arc et le gérer via votre propre locataire Azure.
Étant donné que l'article d'Andy explique très bien l'utilisation générale d'Arc pour la persistance, je me contenterai d'ajouter une petite remarque concernant l'opérationnalisation lorsque l'accès via une interface graphique n'est pas possible (comme c'est généralement le cas lors de l'utilisation d'un agent C2). En examinant les scripts de déploiement, le processus d’installation du client Arc se compose principalement de deux parties : l’installation du client réel via un installateur MSI, et la connexion du client installé à un locataire Azure via des arguments en ligne de commande transmis à l’Agent Arc Connected Machine Agent (C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe). Les deux étapes de ce processus peuvent être effectuées localement ou à distance (en utilisant votre méthode préférée d'exécution de code de mouvement latéral) à partir d'un contexte de ligne de commande non interactif, en utilisant la syntaxe approximative suivante :
1.
2.
Une fois connecté, le système apparaîtra dans la lame Arc de votre locataire Azure, et vous pourrez utiliser la CLI d'az, l'API REST d'az ou l'interface graphique pour effectuer des actions sur le système. Maintenant que le client Arc est connecté à un locataire sur lequel vous avez un contrôle total, vous disposez également d'un éventail plus large d'options pour l'exécution ultérieure de code, qui vont au-delà du cadre de ce qui a été abordé dans cet article.
Remarque supplémentaire concernant le déploiement d'Arc : il n'est malheureusement pas possible de se connecter « par-dessus » une autre configuration Arc sans avoir préalablement déconnecté la connexion Arc existante, une opération qui nécessite le rôle Azure Connected Machine Resource Administrator. Il est possible de contourner cette difficulté en désinstallant complètement puis en réinstallant le client Arc, mais ce ne serait pas ma première option en termes d'exécution ou de persistance. Concrètement, cela signifie que si un système dispose déjà d'Arc, il est préférable de vous concentrer sur l'accès à celui-ci via la connexion existante, plutôt que d'essayer d'établir une connexion à votre propre locataire.
Remarque : cette liste ne prétend pas être exhaustive de toutes les recherches liées à l'utilisation offensive d'Arc ; elle contient plutôt une liste d'articles et de conférences qui m'ont aidé à mieux comprendre la plateforme ainsi que les vecteurs d'attaque disponibles par son intermédiaire.
Comprenez les dernières menaces et renforcez vos défenses cloud avec le rapport X-Force sur le paysage des menaces dans le cloud.
Apprenez à relever les défis et à exploiter la résilience de l’IA générative en matière de cybersécurité.
Protégez votre organisation contre les menaces mondiales grâce à l’équipe de pirates informatiques, d’intervenants, de chercheurs et d’analystes spécialisés dans les menaces d’IBM X-Force.
Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.
Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.
Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.