Azure Pentesting

Reading time: 11 minutes

Informações Básicas

Aprenda o básico sobre Azure e Entra ID na página a seguir:

Az - Basic Information

Metodologia de Pentesting/Red Team do Azure

Para auditar um ambiente AZURE, é muito importante saber: quais serviços estão sendo usados, o que está sendo exposto, quem tem acesso a quê e como os serviços internos do Azure e os serviços externos estão conectados.

Do ponto de vista de um Red Team, o primeiro passo para comprometer um ambiente Azure é conseguir obter algum ponto de apoio.

Enumeração Externa & Acesso Inicial

O primeiro passo é, claro, enumerar informações sobre o inquilino que você está atacando e tentar obter um ponto de apoio.

Com base no nome de domínio, é possível saber se a empresa está usando Azure, obter o ID do inquilino, obter outros domínios válidos no mesmo inquilino (se houver mais) e obter informações relevantes como se o SSO está habilitado, configurações de e-mail, e-mails de usuários válidos...

Verifique a página a seguir para aprender como realizar a enumeração externa:

Az - Unauthenticated Enum & Initial Entry

Com essas informações, as maneiras mais comuns de tentar obter um ponto de apoio são:

• OSINT: Verifique se há vazamentos no Github ou em qualquer outra plataforma de código aberto que possa conter credenciais ou informações interessantes.
• Reutilização de senhas, vazamentos ou password spraying
• Comprar credenciais de um funcionário
• Phishing Comum (credenciais ou aplicativo Oauth)
• Phishing de Autenticação por Código de Dispositivo
• brechas de terceiros
• Vulnerabilidades em Aplicações Hospedadas no Azure
• Server Side Request Forgery com acesso ao endpoint de metadados
• Tomadas de subdomínio como em https://godiego.co/posts/STO-Azure/
• Outras configurações incorretas de serviços do Azure
• Se algum laptop de desenvolvedor estiver comprometido (WinPEAS e LinPEAS podem encontrar essas informações):
• Dentro de <HOME>/.Azure
• azureProfile.json contém informações sobre usuários logados no passado
• clouds.config contém informações sobre assinaturas
• service_principal_entries.json contém credenciais de aplicativos (id do inquilino, clientes e segredo). Apenas no Linux e macOS
• msal_token_cache.json contém tokens de acesso e tokens de atualização. Apenas no Linux e macOS
• service_principal_entries.bin e msal_token_cache.bin são usados no Windows e são criptografados com DPAPI
• msal_http_cache.bin é um cache de requisições HTTP
• Carregue: with open("msal_http_cache.bin", 'rb') as f: pickle.load(f)
• AzureRmContext.json contém informações sobre logins anteriores usando Az PowerShell (mas sem credenciais)
• Dentro de C:\Users\<username>\AppData\Local\Microsoft\IdentityCache\* estão vários arquivos .bin com tokens de acesso, tokens de ID e informações de conta criptografadas com o DPAPI dos usuários.
• É possível encontrar mais tokens de acesso nos arquivos .tbres dentro de C:\Users\<username>\AppData\Local\Microsoft\TokenBroken\Cache\ que contêm um base64 criptografado com DPAPI com tokens de acesso.
• No Linux e macOS, você pode obter tokens de acesso, tokens de atualização e tokens de ID do Az PowerShell (se usado) executando pwsh -Command "Save-AzContext -Path /tmp/az-context.json"
• No Windows, isso gera apenas tokens de ID.
• É possível ver se o Az PowerShell foi usado no Linux e macOS verificando se $HOME/.local/share/.IdentityService/ existe (embora os arquivos contidos estejam vazios e sejam inúteis)

Encontre outras configurações incorretas de serviços do Azure que podem levar a um ponto de apoio na página a seguir:

Az - Unauthenticated Enum & Initial Entry

Ferramentas do Azure & Entra ID

As seguintes ferramentas serão super úteis para enumerar tanto inquilinos do Entra ID quanto ambientes do Azure lentamente (para evitar detecção) ou automaticamente (para economizar tempo):

Az - Enumeration Tools

Bypass de Políticas de Acesso

Em casos onde você tem algumas credenciais válidas, mas não consegue fazer login, estas são algumas proteções comuns que podem estar em vigor:

• Whitelist de IP -- Você precisa comprometer um IP válido
• Restrições geográficas -- Descubra onde o usuário mora ou onde estão os escritórios da empresa e obtenha um IP da mesma cidade (ou país, pelo menos)
• Navegador -- Talvez apenas um navegador de certos SO (Windows, Linux, Mac, Android, iOS) seja permitido. Descubra qual SO a vítima/empresa usa.
• Você também pode tentar comprometer credenciais de Service Principal, pois geralmente são menos limitadas e seu login é menos revisado

Após contornar isso, você pode ser capaz de voltar à sua configuração inicial e ainda terá acesso.

Verifique:

Az - Conditional Access Policies & MFA Bypass

Whoami

Uma das primeiras coisas que você precisa saber é quem você é (em qual ambiente você está):

az account list
az account tenant list # Current tenant info
az account subscription list # Current subscription info
az ad signed-in-user show # Current signed-in user
az ad signed-in-user list-owned-objects # Get owned objects by current user
az account management-group list #Not allowed by default

# Get the information about the current context (Account, Tenant, Subscription etc.)
Get-AzContext
# List all available contexts
Get-AzContext -ListAvailable
# Enumerate subscriptions accessible by the current user
Get-AzSubscription
#Get Resource group
Get-AzResourceGroup

#Get the current session
Get-MgContext

#Get the current session state
Get-AzureADCurrentSessionInfo
#Get details of the current tenant
Get-AzureADTenantDetail

Enumeração do Entra ID & Privesc

Por padrão, qualquer usuário deve ter permissões suficientes para enumerar coisas como usuários, grupos, funções, principais de serviço... (ver permissões padrão do AzureAD).
Você pode encontrar aqui um guia:

Az - Entra ID (AzureAD) & Azure IAM

Verifique as ferramentas de Pós-Exploração para encontrar ferramentas para escalar privilégios no Entra ID, como AzureHound:

Automated Post Exploitation Tools

Enumeração do Azure

Uma vez que você saiba quem é, pode começar a enumerar os serviços do Azure aos quais você tem acesso.

Você deve começar descobrindo as permissões que você tem sobre os recursos. Para isso:

1. Encontre o recurso ao qual você tem algum acesso:

O comando do Az PowerShell Get-AzResource permite que você saiba os recursos que seu usuário atual tem visibilidade.

Além disso, você pode obter as mesmas informações na console web acessando https://portal.azure.com/#view/HubsExtension/BrowseAll ou pesquisando por "Todos os recursos" ou executando:

az rest --method GET --url "https://management.azure.com/subscriptions/<subscription-id>/resources?api-version=2021-04-01"

2. Encontre as permissões que você tem sobre os recursos que pode ver:

Falando com a API https://management.azure.com/{resource_id}/providers/Microsoft.Authorization/permissions?api-version=2022-04-01, você pode obter as permissões que tem sobre o recurso especificado no resource_id.

Portanto, verificando cada um dos recursos aos quais você tem acesso, você pode obter as permissões que tem sobre eles.

Get-AzRoleAssignment -Scope /subscriptions/<subscription-id>/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4

az rest --method GET --uri "https://management.azure.com/<Scope>/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01" | jq ".value"

az rest --method GET --uri "https://management.azure.com//subscriptions/<subscription-id>/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/vault-m3ww8ut4/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01" | jq ".value"

az role assignment list --assignee "<email>" --all --output table

az rest --method GET --uri 'https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId eq '<user-id>'

az rest --method GET --uri "https://management.azure.com//subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleDefinitions/<RoleDefinitionId>?api-version=2022-04-01" | jq ".properties"

Na seção a seguir, você pode encontrar informações sobre os serviços Azure mais comuns e como enumerá-los:

Az - Services

Escalação de Privilégios, Pós-Exploração & Persistência

Uma vez que você saiba como o ambiente Azure está estruturado e quais serviços estão sendo utilizados, você pode começar a procurar maneiras de escalar privilégios, mover-se lateralmente, realizar outros ataques de pós-exploração e manter persistência.

Na seção a seguir, você pode encontrar informações sobre como escalar privilégios nos serviços Azure mais comuns:

Az - Privilege Escalation

Na seguinte, você pode encontrar informações sobre como realizar ataques de pós-exploração nos serviços Azure mais comuns:

Az - Post Exploitation

Na seguinte, você pode encontrar informações sobre como manter persistência nos serviços Azure mais comuns:

Az - Persistence