รายได้จากบริการคลาวด์ของ Microsoft เพิ่มขึ้น 46% ในไตรมาสแรกของปี 2022 และส่วนแบ่งตลาดคลาวด์มี เพิ่มขึ้นเกือบ 9% ตั้งแต่ปี พ.ศ. 2017 ด้วย สีฟ้า ในที่สุดก็ถูกใช้อย่างจริงจังโดยกระแสหลัก ตอนนี้เป็นเวลาที่เหมาะที่จะมีส่วนร่วมในการวิจัยการละเมิดของ Azure มีการละเมิดเบื้องต้นที่ยังไม่ถูกค้นพบจำนวนมาก หนี้การกำหนดค่าผิดจำนวนมากสร้างขึ้น และคู่ต่อสู้จำนวนมากขึ้นเรื่อยๆ เริ่มกำหนดเป้าหมาย Azure อย่างจริงจังมากขึ้น
เหตุใดจึงใช้เวลาในการมองหาการละเมิดพื้นฐานมากกว่าข้อบกพร่องหรือการใช้ประโยชน์จากซอฟต์แวร์ การละเมิดมีอายุการเก็บรักษานานกว่าแมลงและซีโร่เดย์มาก และค่าบำรุงรักษาถูกกว่า ที่สำคัญกว่าสำหรับผู้โจมตี พวกเขามีอยู่ในการใช้งานซอฟต์แวร์ที่เป็นปัญหาเกือบทั้งหมด และยากสำหรับผู้ปกป้องในการตรวจจับและบล็อก ด้วยเหตุนี้จึงเป็นเรื่องสำคัญที่นักวิจัยจะต้องเปิดเผยตัวเลือกการละเมิดใหม่ๆ เพื่อให้สามารถแก้ไขหรือบรรเทาได้
นี่คือขั้นตอนห้าขั้นตอนของฉันในการค้นคว้าระบบเฉพาะภายใน Azure และพยายามค้นหาพื้นฐานการโจมตีแบบใหม่ การปฏิบัติตามแนวทางนี้จะช่วยให้คุณประหยัดเวลา อยู่ในเส้นทาง และให้ผลลัพธ์ที่ดีขึ้น
ขั้นตอนที่หนึ่ง: เริ่มต้นด้วยจุดจบในใจ
ขั้นแรก คุณจะต้องทำความเข้าใจว่าระบบที่คุณเลือกทำงานอย่างไร มีปฏิสัมพันธ์กับระบบอื่นๆ ใน Azure อย่างไร และจะถูกนำไปใช้ในทางที่ผิดได้อย่างไร ยิ่งไปกว่านั้น ลองนึกดูว่าผลงานชิ้นสุดท้ายของคุณจะเป็นอย่างไร — บล็อกโพสต์? งานสัมมนา? แนวทางแก้ไขป้องกันหรืออัปเดตเครื่องมือโอเพ่นซอร์ส? กำหนดสิ่งที่จำเป็นในการสร้างเนื้อหาเหล่านี้ พิจารณาสร้างรหัสการตรวจสอบด้วย เพื่อให้ผู้ปกป้องสามารถตรวจสอบการกำหนดค่าที่เป็นอันตรายเหล่านี้ และรหัสที่ไม่เหมาะสมได้เช่นกัน เพื่อให้ผู้อื่นสามารถตรวจสอบได้อย่างง่ายดายว่าการกำหนดค่าเหล่านี้ถูกใช้ในทางที่ผิดได้อย่างไร สิ่งเหล่านี้คือ “เกณฑ์ความสำเร็จ” สำหรับการวิจัยของคุณที่จะช่วยให้คุณรักษาโฟกัส หลีกเลี่ยงรูกระต่ายที่ไม่จำเป็น และรับรองผลลัพธ์อันมีค่า
ขั้นตอนที่สอง: ศึกษาเจตนาและการออกแบบระบบ
เมื่อคุณรู้อย่างแน่ชัดแล้วว่าคุณต้องค้นพบอะไร ให้เริ่มค้นคว้าเหมือนกับที่คนอื่นทำ นั่นคือทำการค้นหาโดย Google และอ่านเอกสารทางการ มองหาสิ่งที่ดูเหมือนไม่เหมาะสม (เช่น ความสามารถในการรีเซ็ตรหัสผ่านและการอนุญาตที่จำเป็น) เจาะลึกเข้าไปในสิ่งเหล่านั้น และจดบันทึกเมื่อคุณทำ
ใช้ LinkedIn เพื่อระบุสถาปนิกผลิตภัณฑ์หรือเจ้าหน้าที่ Microsoft อื่นๆ ที่เกี่ยวข้องในการสร้างหัวข้อการศึกษาของคุณ ตรวจสอบฟีด LinkedIn และ Twitter และค้นหาแหล่งข้อมูลที่พวกเขาเขียนหรือโพสต์ใหม่ (โพสต์บนบล็อก การนำเสนอในการประชุม ฯลฯ) เจาะลึกแหล่งข้อมูลของชุมชน เช่น ฟอรัมหรือที่เก็บ GitHub ที่เกี่ยวข้องกับบริการนี้ เนื่องจากกลุ่มผู้ใช้เหล่านี้มักเปิดกว้างในวาทกรรมเกี่ยวกับปัญหาและจุดอ่อนมากกว่ากลุ่มผู้ใช้ Microsoft จดบันทึกในระบบต่อไป เมื่อคุณสามารถพูดอย่างชาญฉลาดเกี่ยวกับสถาปัตยกรรมและจุดประสงค์ของระบบ และเขียนข้อมูลสรุปที่ไม่เกี่ยวกับด้านเทคนิคที่แม่นยำสูง คุณก็พร้อมที่จะดำเนินการต่อไป
ขั้นตอนที่สาม: สำรวจระบบ
เอกสารสามารถพาคุณไปได้ไกลเท่านั้น — ไม่ตามการเปลี่ยนแปลงใน Azure และมีการเชื่อมต่อที่ซ่อนอยู่เกือบตลอดเวลาที่ไม่มีเอกสาร การกระโดดเข้าสู่ขั้นตอนนี้เป็นสิ่งที่ดึงดูดใจ แต่หากไม่มีบริบทเกี่ยวกับระบบที่คุณสร้างขึ้นผ่านการค้นคว้า คุณอาจจะเสียเวลามาก
เริ่มสำรวจระบบด้วยอินเทอร์เฟซที่ง่ายที่สุด ซึ่งมักจะเป็น GUI ของพอร์ทัล Azure หากคุณเปิดเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ในเบราว์เซอร์ Chrome คุณจะเห็นคำขอ API ทั้งหมดที่เบราว์เซอร์สร้างขึ้น คัดลอกไปยัง PowerShell แล้วคุณจะเริ่มต้นสร้างลูกค้าของคุณเองได้ดี ใช้เครื่องมือ CLI อย่างเป็นทางการใน Azure (az binary, โมดูล Az PowerShell และโมดูล Azure AD PowerShell)
เมื่อคุณได้สำรวจมากพอที่จะสร้างไคลเอนต์พื้นฐานของคุณเองเพื่อโต้ตอบกับระบบ ก็ถึงเวลาที่จะดำเนินการต่อไป นี่เป็นพื้นฐานสำหรับลูกค้าที่เป็นผู้ใหญ่มากขึ้น และสำหรับกระบวนการทดสอบความสามารถในการใช้งานในทางที่ผิดโดยอัตโนมัติ
ขั้นตอนที่สี่: ความสามารถในการใช้แคตตาล็อกในทางที่ผิด
ตอนนี้คุณสามารถใช้ไคลเอนต์ของคุณเพื่อระบุการอนุญาตทั้งหมดที่ระบบสามารถกำหนดได้ และทดสอบการละเมิดเบื้องต้นที่คุณรู้จักแล้วเทียบกับการอนุญาตแต่ละรายการ (เช่น คุณสามารถเลื่อนระดับเป็นผู้ดูแลระบบส่วนกลางหรือเปลี่ยนรหัสผ่านของผู้ดูแลระบบส่วนกลางได้หรือไม่) จับตาดูการละเมิดเบื้องต้นอื่นๆ ที่อาจเกิดขึ้นระหว่างการวิจัยของคุณ และทดสอบพวกเขาด้วยเพื่อเปิดเผยความคลาดเคลื่อนระหว่างสิ่งที่เอกสารอย่างเป็นทางการพูดกับวิธีที่สิ่งต่าง ๆ ทำงานในความเป็นจริง
ในความเป็นจริง คุณจะต้องทำให้กระบวนการนี้เป็นไปโดยอัตโนมัติ เมื่อฉันทำตามขั้นตอนการวิจัยนี้เพื่อตรวจสอบ Azure Graph API ฉันมีรายการการอนุญาตประมาณ 175 รายการและการละเมิดพื้นฐานหลายสิบรายการเพื่อทดสอบกับแต่ละรายการ … คุณทำคณิตศาสตร์
ขั้นตอนที่ห้า: แบ่งปันสิ่งที่ค้นพบ
ขั้นตอนสุดท้ายคือการช่วยให้ผู้อื่นเรียนรู้จากงานของคุณ เขียนบล็อกโพสต์ พูดคุย และ/หรือแบ่งปันรหัสของคุณ ประเด็นคือช่วยให้ผู้อื่นประหยัดเวลาและขยายหรือเพิ่มเติมงานของคุณ คิดว่าเป็นการเขียนบล็อกโพสต์ที่คุณต้องการเมื่อเริ่มการวิจัย
ดูข้อมูลเพิ่มเติมได้ที่ คำพูดที่ฉันให้ ในหัวข้อนี้ (และ เข้าถึงดาดฟ้าที่มาพร้อมกับ). แรงบันดาลใจในการเริ่มค้นคว้าเกี่ยวกับการละเมิด Azure? ต่อไปนี้คือเว็บไซต์ที่มีประโยชน์บางส่วนในการค้นหาเนื้อหาทางเทคนิคเกี่ยวกับความปลอดภัยของ Azure: ผู้ดูแลระบบขี้เกียจ, วิธีแก้ปัญหาที่ดี!, AZโฆษณา, โธมัส ฟาน แลร์และ พอร์ทัลของ Microsoft.
