Microsoft'un bulut hizmetleri geliri % 46 büyüdü 2022'nin ilk çeyreğinde bulut pazar payı arttı neredeyse% 9 arttı 2017'dan beri. masmavi nihayet ana akım tarafından ciddi bir şekilde kullanılmaya başlandığından, Azure kötüye kullanım araştırmasına dahil olmanın şimdi ideal zamanıdır. Ortalıkta keşfedilmemiş pek çok ilkel kötüye kullanım var, çok sayıda yanlış yapılandırma borcu birikmiş ve giderek artan sayıda düşman Azure'u daha ciddi şekilde hedeflemeye başlıyor.

Neden hatalar veya yazılım açıklarından yararlanmak yerine kötüye kullanım ilkellerini aramak için zaman harcayasınız ki? Kötüye kullanımların raf ömrü, hatalara ve sıfır günlere göre çok daha uzundur ve bakımı daha ucuzdur. Saldırganlar için daha da önemlisi, söz konusu yazılımın hemen hemen tüm uygulamalarında mevcut olmaları ve savunucuların tespit edip engellemeleri çok daha zordur. Bu nedenle araştırmacıların, düzeltilebilmesi veya hafifletilebilmesi için yeni kötüye kullanım seçeneklerini ortaya çıkarması hayati önem taşıyor.

Azure'da belirli bir sistemi araştırmak ve yeni saldırı temellerini bulmaya çalışmak için kullandığım beş adımlı süreci burada bulabilirsiniz. Bu yaklaşımı takip etmek zamandan tasarruf etmenize, doğru yolda kalmanıza ve daha iyi sonuçlar üretmenize yardımcı olacaktır.

Birinci Adım: Sonu Aklınızda Tutarak Başlayın

Öncelikle, seçtiğiniz sisteminizin nasıl çalıştığını, Azure'daki diğer sistemlerle nasıl etkileşime girdiğini ve nasıl kötüye kullanılabileceğini anlamanız gerekir. Bunun ötesinde, nihai ürününüzün ne olacağını düşünün; bir blog yazısı mı? Konferans oturumu mu? Savunma amaçlı iyileştirme yönergeleri veya açık kaynaklı bir araçta güncellemeler mi var? Bu varlıkları oluşturmak için neyin gerekli olduğunu belirleyin. Denetim kodunu da oluşturmayı düşünün; böylece savunmacılar bu tehlikeli yapılandırmaları ve kötüye kullanım kodunu kontrol edebilir, böylece diğerleri bu yapılandırmaların nasıl kötüye kullanılabileceğini kolayca doğrulayabilir. Bunlar, araştırmanız için odaklanmanızı sürdürmenize, gereksiz tavşan deliklerinden kaçınmanıza ve değerli bir sonuç elde etmenize yardımcı olacak "başarı kriterleridir".

İkinci Adım: Sistemin Amacını ve Tasarımını İnceleyin

Neyi keşfetmeniz gerektiğini tam olarak öğrendikten sonra, tıpkı herkesin yapacağı gibi araştırmaya başlayın; Google'da arama yapın ve resmi belgeleri okuyun. Kötüye kullanıma açık görünen herhangi bir şeyi arayın (şifreleri sıfırlama yeteneği ve gerekli izinler gibi), bunları daha ayrıntılı inceleyin ve ilerledikçe not alın.

Çalışmanızın konusunun oluşturulmasında yer alan ürün mimarlarını veya diğer Microsoft personelini belirlemek için LinkedIn'i kullanın. LinkedIn ve Twitter akışlarını gözden geçirin ve yazdıkları veya yeniden yayınladıkları kaynakları (blog gönderileri, konferans sunumları vb.) arayın. Bu hizmetle ilişkili forumlar veya GitHub depoları gibi topluluk kaynaklarını araştırın; çünkü bu kullanıcı grupları, sorunlar ve zayıflıklar hakkındaki söylemlerinde genellikle Microsoft'tan çok daha açıktır. Sisteme not almaya devam edin. Sistemin mimarisi ve amacı hakkında akıllıca konuşabildiğinizde ve onun hakkında son derece doğru, teknik olmayan bir özet yazdığınızda, devam etmeye hazırsınız demektir.

Üçüncü Adım: Sistemi Keşfedin

Belgeleme sizi yalnızca bir yere kadar götürebilir; Azure'daki değişikliklere ayak uyduramaz ve neredeyse her zaman belgelenmeyen gizli bağlantılar bulunur. Doğrudan bu adıma geçmek cazip gelebilir, ancak araştırma yoluyla oluşturduğunuz sistem bağlamı olmadan muhtemelen çok fazla zaman harcayacaksınız.

Sistemi en kolay arayüzle keşfetmeye başlayın; bu genellikle Azure portal GUI'sidir. Chrome tarayıcısında Geliştirici araçlarını açarsanız tarayıcının yaptığı tüm API isteklerini görebilirsiniz. Bunları PowerShell'e kopyaladığınızda kendi istemcinizi oluşturmaya iyi bir başlangıç ​​yapmış olursunuz. Azure'daki resmi CLI araçlarını (az ikili programı, Az PowerShell modülü ve Azure AD PowerShell modülü) kullanın.

Sistemle etkileşime geçmek için kendi temel istemcinizi oluşturabilecek kadar yeterince araştırdığınızda, devam etme zamanı gelmiştir. Bu, daha olgun bir istemci için ve kötüye kullanım yeteneklerini test etme sürecini otomatikleştirmek için bir temel sağlar.

Dördüncü Adım: Kataloğun Kötüye Kullanımı Yetenekleri

Artık istemcinizi, sistemin atayabileceği tüm izinleri numaralandırmak ve zaten bildiğiniz kötüye kullanım temellerini bu izinlerin her birine göre test etmek için kullanabilirsiniz (örneğin, kendinizi genel yönetici olarak yükseltebilir misiniz veya genel yöneticinin şifresini değiştirebilir misiniz?). Araştırmanız sırasında ortaya çıkabilecek diğer suiistimal ilkellerine karşı dikkatli olun ve bunları da test ederek resmi belgelerin söyledikleri ile gerçekte işlerin nasıl yürüdüğü arasındaki tutarsızlıkları ortaya çıkarın.

Gerçekçi olmak gerekirse, bu süreci otomatikleştirmeniz gerekecek. Azure Graph API'sini inceleyen bu araştırma metodolojisini incelediğimde, elimde her birine karşı test edebileceğim yaklaşık 175 izin ve bir düzine suistimal ilkelinden oluşan bir liste vardı... hesabı siz yapın.

Beşinci Adım: Bulguları Paylaşın

Son adım, başkalarının çalışmanızdan öğrenmesine yardımcı olmaktır. Bir blog yazısı yazın, bir konuşma yapın ve/veya kodunuzu paylaşın. Önemli olan, başkalarının zamandan tasarruf etmesine ve çalışmanızı genişletmesine veya ona katkıda bulunmasına yardımcı olmaktır. Bunu, araştırmanızın başında ihtiyacınız olan blog yazısını yazmak olarak düşünün.

Daha fazlasını öğrenmek için izleyin yaptığım bir konuşma Bu konuyla ilgili (ve beraberindeki güverteye erişin). Azure kötüye kullanımlarını araştırmaya başlamak için ilham aldınız mı? Azure güvenliğiyle ilgili teknik içeriği bulabileceğiniz bazı yararlı web siteleri şunlardır: Tembel Yönetici, İyi Geçici Çözüm!, AZReklamveren, Thomas Van Laere, ve Microsoft Portalları.