Mes recherches sur Microsoft Azure ont commencé lors d'une opération récente de l'équipe rouge où nous sommes tombés sur un script PowerShell contenant un secret de Service Principal codé en dur qui était responsable du déploiement d'Arc sur les systèmes sur site. Je ne savais pas grand-chose sur ce service et j'ai donc commencé à faire des recherches pour déterminer ce que nous pourrions faire avec les identifiants récupérés. Nous avons finalement pu utiliser des techniques documentées dans des recherches antérieures sur ce sujet pour obtenir l'exécution de code sur un contrôleur de domaine et revenir vers Microsoft Azure, mais cela m'a amené à réfléchir à des questions plus générales concernant Arc : comment l'identifier dans les environnements ? Quelles sont les (mauvaises) configurations qui pourraient permettre une escalade ? Quels autres vecteurs d’exécution de code existent à l’intérieur ? Pourrait-il être utilisé comme mécanisme de persistance hors bande ?

Alors, qu'est-ce qu'Azure Arc ? De manière générale, il étend les capacités de gestion natives d'Azure à diverses ressources non Azure telles que les systèmes sur site, les clusters Kubernetes et les déploiements VCenter, permettant ainsi de gérer ces systèmes via Azure Resource Manager de la même manière qu'un hôte natif Azure. Une fois que l'agent Arc est déployé sur un hôte, il enregistre la ressource dans Azure et expose une suite de fonctionnalités de gestion : surveillance, application de politiques, gestion des mises à jour, etc. Cependant, ce qui m'intéressait le plus était la possibilité de l'utiliser pour télécharger des fichiers à distance et exécuter des commandes à partir d'un processus fiable dans le contexte de NT_AUTHORITY\SYSTEM.Bien que certaines fonctionnalités d'Arc recoupent celles d'Intune, Arc est spécialement conçu pour gérer l'infrastructure et les serveurs, et non les points de terminaison ou les appareils mobiles.

Arc n'est pas tout à fait nouveau (il a été initialement lancé en 2019), et d'autres recherches antérieures ont montré comment il peut être utilisé pour exécuter du code et persister dans des environnements. De plus, les recherches existantes sur les attaques contre les machines virtuelles (VM) Azure présentent des similitudes importantes avec Arc, car les systèmes sur site configurés avec Arc peuvent être gérés dans Azure de la même manière qu'une VM native Azure. Avec cet article, j'espère apporter un peu plus de contexte en me concentrant sur des domaines qui n'ont pas été explorés de manière approfondie dans les recherches existantes, ainsi qu'en décrivant l'utilisation offensive de la plateforme dans un workflow typique de red teaming et en fournissant des conseils défensifs pour les déploiements Azure Arc.