jueves, 1 de septiembre de 2022

Suelto al mono: Monkey 360. Audita tu O365.

 Estimados amigos de Inseguros !!!

En el post de hoy vamos a introducirnos en una herramienta de análisis de configuracíón para Azure, no solo O365 como reza el nombre.

Pero antes de nada, voy a empezar por hablar del autor, un español... de Triana, el señor Juan Garrido, Triana para los amigos.

*Este hombre es un referente en ciberseguridad en España, desde hace muchos años. Yo lo admiro mucho por varios motivos, sin importar el orden, ha sido MVP durante muchos años, contribuyendo con su blog y conferencias por todo el mundo. Sigue siendo habitual en los mejores eventos de ciberseguridad, y sobre todo con proyectos de valor como su herramienta Vouyer. Un experto en tecnologías Microsoft, y en procesos de pentesting. Alguna vez lo he oido decir eso, que se le considera "windosero" pero que su día a día es lidiar con los más florido del ciberespacio :-)

Pero no es por esto por lo que más lo admiro, sino por su trato. He hablado con él dos veces en persona quizás, pero SIEMPRE me ha tratado como un igual, o al revés, siempre me ha dicho: hola máquina !!! tal cual. un tio de los que te hace sentir importante a ti, no al revés, cuando debería ser así.

Que menos que este pequeño reconocimiento personal, aparte, que me aprovecho de su herramienta ( esto ha sonado raro? xD ) y espero que vosotros tambien.*

Seguimos con la herramienta. Monkey365 recopila información desde GRAPH, la api de acceso a los registros de Azure por lo que he visto y tiene acceso a los siguientes servicios:       

Azure SQL Databases
        Azure MySQL Databases
        Azure PostgreSQL Databases
        Azure Active Directory
        Storage Accounts
        Classic Virtual Machines
        Virtual Machines V2
        Security Status
        Security Policies
        Role Assignments (RBAC)
        Security Patches
        Security Baseline
        Security Center
        Network Security Groups
        Classic Endpoints
        Azure Security Alerts
        Azure Web Application Firewall
        Azure Application services
    The following Microsoft 365 applications are supported by Monkey365:
        Exchange Online
        Microsoft Teams
        SharePoint Online
        OneDrive for Business

El proceso de instalación está perfectamente explicado en el Github del proyecto, como no iba a ser menos.

Como tiene unos ejemplos de uso, vamos a por ello y hacemos un:

Invoke-Monkey365 -PromptBehavior SelectAccount -Instance Azure -Analysis All -TenantID 00000000-0000-0000-0000-000000000000 -ExportTo HTML

Nos pide autenticación y el poco tiempo tenemos la magia del report.


Como puedes ver, nos muestra la información que provien de Alertas.

Una de las cosas que me flipa, es que está mapeado el control CIS de azure y de M365 con la regla que ha buscado.


En otras ocasiones, por ejemplo mirando configuraciones de la suscripción, vemos como incluso nos aparece una guía de resolución del hallazgo.


La herramienta está diseñada por un auditor para ayudar en su trabajo, por lo que debemos comprender en profundidad qué está haciendo. No esperes copiar el ejemplo y que funcione. Si, funcionará en muchos casos, en otros no.

Haciendo varias pruebas en varios entornos, he tenido que jugar con los parámetros, por ejemplo, en un entorno en el que el usuario que tenía ( hacking) no tenía suscripción activa, era solo miembro del Azure AD, si le tiras al ejemplo que he puesto no te da nada, porque estás preguntando a la suscripción.

En mi caso lo que he hecho es copiarme los ejemplos en un notepad, ver qué hace, qué parametros toma, y crearme mi "comando" para resolver el caso que tenía delante. Si no eres capaz de esto, no puedes hackear el mundo xD xD xD.

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.