Riset saya tentang Microsoft Azure Arc dimulai selama operasi tim merah baru-baru ini di mana kami menemukan skrip PowerShell yang berisi rahasia Service Principal hardcode yang bertanggung jawab untuk menerapkan Arc ke sistem on premises. Saya tidak tahu banyak tentang layanan ini, jadi saya mulai melakukan riset untuk menentukan apa yang dapat kami lakukan dengan kredensial yang dipulihkan. Kami akhirnya dapat menggunakan teknik yang didokumentasikan dalam riset sebelumnya tentang topik ini untuk mendapatkan eksekusi kode pada pengontrol domain dan memutar kembali ke Microsoft Azure, tetapi ini membuat saya berpikir tentang beberapa pertanyaan yang lebih luas terkait dengan Arc: Bagaimana Anda mengidentifikasinya di lingkungan? Konfigurasi (salah) apa yang mungkin ada yang memungkinkan eskalasi? Vektor eksekusi kode apa lagi yang ada di dalamnya? Bisakah itu digunakan sebagai mekanisme persistensi di luar band?

Jadi, apa itu Azure Arc? Pada tingkat tinggi, ini memperluas kemampuan manajemen asli Azure ke berbagai sumber daya non-Azure seperti sistem on premises, klaster Kubernetes, dan penerapan vCenter, memungkinkan sistem ini dikelola melalui Resource Manager dengan cara yang sama dengan host native Azure. Setelah agen Arc diterapkan ke host, itu mendaftarkan sumber daya yang mendasarinya di Azure dan mengekspos rangkaian fitur manajemen: pemantauan, penegakan kebijakan, manajemen pembaruan, dll. Namun, yang paling menarik bagi saya adalah kemampuan untuk menggunakannya untuk mengunduh file dari jarak jauh dan menjalankan perintah dari proses tepercaya dalam konteks NT_AUTHORITY\ SYSTEM. Sementara beberapa fungsi Arc tumpang tindih dengan Intune, Arc dibuat khusus untuk mengelola infrastruktur dan server, bukan titik akhir atau perangkat mobile.

Arc bukan sangat baru (awalnya dirilis pada 2019), dan penelitian sebelumnya lainnya telah menguraikan bagaimana itu dapat digunakan untuk mengeksekusi kode dan bertahan di lingkungan. Selain itu, penelitian yang ada tentang menyerang Azure Virtual Machines (VM) memiliki tumpang tindih yang signifikan dengan Arc, karena sistem lokal yang dikonfigurasi dengan Arc dapat dikelola di Azure seperti VM native Azure. Dengan blog ini, saya berharap dapat memberikan sedikit lebih banyak konteks dengan berfokus pada area yang tidak dieksplorasi secara menyeluruh dalam riset yang ada, serta menguraikan penggunaan platform yang ofensif dalam alur kerja yang khas dan memberikan panduan defensif yang menyertainya untuk penerapan Azure Arc.