La mia ricerca su Microsoft Azure è iniziata durante una recente operazione di Red Team, dove ci siamo imbattuti in uno script PowerShell contenente un segreto Service Principal codificato in modo rigido, responsabile dell'implementazione di Arc nei sistemi on-premise. Non sapevo molto del servizio, quindi ho iniziato a fare delle ricerche per determinare cosa avremmo potuto fare con le credenziali recuperate. Siamo riusciti a usare tecniche documentate in ricerche precedenti su questo argomento per ottenere l'esecuzione del codice su un domain controller e poi tornare a Microsoft Azure, ma questo mi ha fatto riflettere su alcune domande più ampie legate ad Arc: come lo identificate negli ambienti? Quali configurazioni (errate) potrebbero esistere per consentire l'escalation? Quali altri vettori di esecuzione del codice esistono al suo interno? Potrebbe essere utilizzato come meccanismo di persistenza fuori banda?

Quindi, che cos'è Azure Arc? A un livello generale, estende le funzionalità di gestione Azure-native a una varietà di Risorse non Azure come sistemi on-premise, cluster e distribuzione VCenter, permettendo a questi sistemi di essere gestiti tramite Resource Manager nello stesso modo in cui lo farebbe un host nativo Azure. Una volta che l'agente Arc viene implementato su un host, registra le risorse sottostante in Azure e espone una suite di caratteristiche di gestione: monitoraggio, applicazione delle policy, gestione degli aggiornamenti, ecc. Tuttavia, ciò che mi interessava di più era la possibilità di usarlo per scaricare file da remoto ed eseguire comandi da un processo affidabile nel contesto di NT_AUTHORITY\SYSTEM. Sebbene alcune funzionalità di Arc si sovrappongano a Intune, Arc è progettato appositamente per gestire infrastrutture e server, non endpoint o mobile.

Arc non è una novità assoluta (è stato originariamente rilasciato nel 2019) e altre ricerche precedenti hanno delineato come può essere utilizzato per eseguire codice e mantenerlo in ambienti specifici. Inoltre, la ricerca esistente sull'attacco alle macchine virtuali (VM) di Azure presenta sovrapposizioni significative con Arc, poiché i sistemi on-premise configurati con Arc possono essere gestiti in Azure in modo simile a una VM nativa Azure. Con questo blog, spero di fornire un po' più di contesto concentrandomi su aree meno approfondite nelle ricerche esistenti, oltre a esplorare l'uso offensivo della piattaforma all'interno di un tipico workflow di red teaming e fornire indicazioni difensive per le distribuzioni di Azure Arc.