Generative Datenintelligenz

So finden Sie neue Angriffs-Primitive in Microsoft Azure

Datum:

Der Umsatz von Microsoft mit Cloud-Diensten wuchs 46% im ersten Quartal 2022 und sein Cloud-Marktanteil hat zugenommen um fast 9% erhöht seit 2017. Mit Azure Da Azure endlich ernsthaft vom Mainstream genutzt wird, ist jetzt der ideale Zeitpunkt, sich an der Azure-Missbrauchsforschung zu beteiligen. Es gibt viele unentdeckte Missbrauchsprimitive, viele Fehlkonfigurationsschulden haben sich angesammelt und eine wachsende Zahl von Gegnern beginnt, Azure immer stärker ins Visier zu nehmen.

Warum Zeit damit verbringen, nach Missbrauchsprimitiven zu suchen, anstatt nach Fehlern oder Software-Exploits? Abuses haben eine viel längere Haltbarkeit als Bugs und Zero-Days und sind kostengünstiger in der Wartung. Noch wichtiger für Angreifer ist, dass sie in fast allen Implementierungen der betreffenden Software vorhanden sind und für Verteidiger viel schwieriger zu erkennen und zu blockieren sind. Deshalb ist es für Forscher von entscheidender Bedeutung, neue Missbrauchsmöglichkeiten aufzudecken, damit diese behoben oder abgemildert werden können.

Hier ist mein fünfstufiger Prozess zur Untersuchung eines bestimmten Systems in Azure und zum Versuch, neue Angriffsprimitive zu finden. Wenn Sie diesen Ansatz befolgen, können Sie Zeit sparen, auf dem richtigen Weg bleiben und bessere Ergebnisse erzielen.

Schritt eins: Beginnen Sie mit dem Ende im Hinterkopf

Zunächst müssen Sie verstehen, wie das System Ihrer Wahl funktioniert, wie es mit anderen Systemen in Azure interagiert und wie es missbraucht werden kann. Denken Sie darüber hinaus darüber nach, was Ihr Endprodukt sein wird – ein Blog-Beitrag? Eine Konferenzsitzung? Defensive Sanierungsrichtlinien oder Aktualisierungen eines Open-Source-Tools? Bestimmen Sie, was zum Erstellen dieser Assets erforderlich ist. Erwägen Sie auch die Erstellung von Prüfcode, damit Verteidiger nach diesen gefährlichen Konfigurationen suchen können, und auch Missbrauchscode, damit andere leicht überprüfen können, wie diese Konfigurationen missbraucht werden können. Dies sind die „Erfolgskriterien“ für Ihre Forschung, die Ihnen helfen, den Fokus zu behalten, unnötige Kaninchenlöcher zu vermeiden und ein wertvolles Endergebnis sicherzustellen.

Schritt zwei: Studieren Sie die Absicht und das Design des Systems

Sobald Sie genau wissen, was Sie entdecken müssen, beginnen Sie mit der Recherche wie jeder andere auch: Führen Sie eine Google-Suche durch und lesen Sie die offizielle Dokumentation. Suchen Sie nach allem, was missbräuchlich erscheint (z. B. die Möglichkeit, Passwörter und erforderliche Berechtigungen zurückzusetzen), vertiefen Sie sich darin und machen Sie sich dabei Notizen.

Verwenden Sie LinkedIn, um Produktarchitekten oder andere Microsoft-Mitarbeiter zu identifizieren, die an der Erstellung des Themas Ihrer Studie beteiligt sind. Überprüfen Sie ihre LinkedIn- und Twitter-Feeds und suchen Sie nach den Ressourcen, die sie verfasst oder erneut veröffentlicht haben (Blogbeiträge, Konferenzpräsentationen usw.). Informieren Sie sich über Community-Ressourcen wie Foren oder GitHub-Repositories, die mit diesem Dienst verbunden sind, da diese Benutzergruppen im Allgemeinen viel offener über Probleme und Schwächen sprechen als die Microsoft-Leute. Machen Sie sich weiterhin Notizen zum System. Sobald Sie in der Lage sind, intelligent über die Architektur und die Absicht des Systems zu sprechen und einen äußerst präzisen, nichttechnischen Bericht darüber zu verfassen, können Sie mit der Arbeit fortfahren.

Schritt drei: Erkunden Sie das System

Mit der Dokumentation können Sie nur bis zu einem gewissen Punkt weiterkommen – sie hält nicht mit den Änderungen in Azure Schritt und es gibt fast immer versteckte Zusammenhänge, die nicht dokumentiert werden. Es ist verlockend, direkt mit diesem Schritt zu beginnen, aber ohne den Kontext des Systems, das Sie durch Recherche aufgebaut haben, werden Sie wahrscheinlich viel Zeit verschwenden.

Beginnen Sie mit der Erkundung des Systems über die einfachste Benutzeroberfläche – häufig ist dies die GUI des Azure-Portals. Wenn Sie die Entwicklertools im Chrome-Browser aufrufen, können Sie alle API-Anfragen sehen, die der Browser stellt. Kopieren Sie sie in PowerShell und Sie haben einen guten Start für die Erstellung Ihres eigenen Clients. Verwenden Sie die offiziellen CLI-Tools in Azure (AZ Binary, das Az PowerShell-Modul und das Azure AD PowerShell-Modul).

Wenn Sie genug erforscht haben, um Ihren eigenen Basis-Client für die Interaktion mit dem System erstellen zu können, ist es an der Zeit, fortzufahren. Dies bietet eine Grundlage für einen ausgereifteren Client und für die Automatisierung des Prozesses zum Testen von Missbrauchsfähigkeiten.

Schritt vier: Katalogmissbrauchsfunktionen

Jetzt können Sie Ihren Client verwenden, um alle Berechtigungen aufzuzählen, die das System zuweisen kann, und die Ihnen bereits bekannten Missbrauchsprimitiven anhand jeder dieser Berechtigungen zu testen (können Sie sich beispielsweise zum globalen Administrator befördern oder das Kennwort eines globalen Administrators ändern?). Halten Sie Ausschau nach anderen Missbrauchsprimitiven, die während Ihrer Recherche auftauchen könnten – und testen Sie diese ebenfalls, um etwaige Diskrepanzen zwischen den Angaben in der offiziellen Dokumentation und der tatsächlichen Funktionsweise aufzudecken.

Realistisch gesehen müssen Sie diesen Prozess automatisieren. Als ich diese Forschungsmethodik zur Untersuchung der Azure Graph-API durchging, hatte ich eine Liste mit etwa 175 Berechtigungen und einem Dutzend Missbrauchsprimitiven, die ich gegen jede einzelne davon testen konnte … Sie müssen nachrechnen.

Schritt fünf: Erkenntnisse teilen

Der letzte Schritt besteht darin, anderen zu helfen, aus Ihrer Arbeit zu lernen. Schreiben Sie einen Blogbeitrag, halten Sie einen Vortrag und/oder teilen Sie Ihren Code. Es geht darum, anderen dabei zu helfen, Zeit zu sparen und Ihre Arbeit zu erweitern oder zu ergänzen. Stellen Sie sich das so vor, als würden Sie den Blogbeitrag schreiben, den Sie zu Beginn Ihrer Recherche benötigten.

Um mehr zu erfahren, schauen Sie sich an ein Vortrag, den ich gehalten habe zu diesem Thema (und Greifen Sie auf das dazugehörige Deck zu). Haben Sie sich dazu inspiriert, mit der Erforschung von Azure-Missbräuchen zu beginnen? Hier sind einige nützliche Websites, auf denen Sie technische Inhalte rund um die Azure-Sicherheit finden: Der faule Administrator, Gute Lösung!, AZAdvertizer, Thomas Van Laere und Microsoft-Portale.

spot_img

Neueste Intelligenz

spot_img

Chat mit uns

Hallo! Wie kann ich dir helfen?