Cet article, rédigé par Dave Cossa, un opérateur senior en red teaming chez X-Force Adversary Services, explore les vulnérabilités potentielles d’Azure Arc, un service de Microsoft permettant la gestion de ressources hybrides.
Azure Arc est conçu pour étendre les capacités de gestion natives d’Azure à des ressources non-Azure, telles que des systèmes sur site et des clusters Kubernetes. Cependant, des mauvais configurations dans son déploiement peuvent permettre une escalade de privilèges et l’utilisation d’un Service Principal surprovisionné pour exécuter du code.
L’article détaille comment identifier Azure Arc dans un environnement, les configurations erronées potentielles, et les vecteurs d’exécution de code. Il met également en lumière comment Arc peut servir de mécanisme de persistance hors bande.
Des indicateurs de compromission (IOCs) incluent la présence de dossiers spécifiques sur le disque, tels que C:\Program Files\AzureConnectedMachineAgent, et des processus associés comme gc_arc_service.exe. Les techniques, tactiques et procédures (TTPs) incluent l’utilisation de scripts PowerShell pour déployer Arc et l’exploitation de rôles Azure mal configurés.
L’objectif principal de cet article est de fournir une analyse technique approfondie des risques associés à Azure Arc et des conseils pour sécuriser les déploiements.
🧠 TTPs et IOCs détectés
TTP
Mauvaise configuration de l’Azure Arc pour l’escalade de privilèges, utilisation d’un Service Principal surprovisionné, exécution de code à travers Azure Arc, persistance hors bande via Azure Arc, utilisation de scripts PowerShell pour déployer Azure Arc, exploitation de rôles Azure mal configurés.
IOC
Présence de dossiers spécifiques sur le disque comme C:\Program Files\AzureConnectedMachineAgent, processus associés comme gc_arc_service.exe.
🔗 Source originale : https://www.ibm.com/think/x-force/identifying-abusing-azure-arc-for-hybrid-escalation-persistence