Estimados amigos de Inseguros!!!
Los que vais conociendo un poco más del mundo Azure y en general del Cloud, entendeis que la cadena de ataques que hacen los malos difiere bastante de la que siguen los ataques destinados al mundo OnPrem.
Por ejemplo, no tiene mucho sentido buscar servidores desactualizados en servicios SaaS... por lo que la identidad suele se la pieza clave.
Una vez que tenemos una identidad, tenemos que enumerar el entorno, conocer la organización que queremos atacar/proteger.
Dentro de esta enumeración, vamos a ver un pequeño proceso que en alguna ocasión ha servidor para escalar privilegios. Se trata de los Runbooks. Son funciones de código en python o powershell que programas en la nube, sin necesidad de montar un servidor por debajo para moverlas...muy útil para cualquier proceso que uses ahora, sin tener que meter la pata de administración del sistema operativo.
En muchas ocasiones estos automatismos introducimos claves en los scripts, en vez de usar Key Vaul o similar, ya sabes para ir a nosedonde,coger noseque y hacer nosecuantos.
Un buen hacker/auditor miraría en estos runbooks para ver si hay contraseñas.
En otro post vamos a usarlas como persistencia, pero esto es solo para poneros los dientes largos xD
Una vez tenemos acceso a un Tenant, buscamos cuentas de automatismos.
Get-AzAutomationAccount
Una vez que tenemos una cuenta, buscamos todos los runbooks que mueve esa cuenta.
Get-AzAutomationRunbook -AutomationAccountName «AutomationAccountName> -ResourceGroupName <ResourceGroupName>
Una vez hemos encontrado el automatismo, procedemos a descargarlo en nuestro sistema para olfatear :-)
Export-AzAutomationRunbook -AutomationAccountName<accountname> -ResourceGroupName <resource group name> -Name runbook name>
Si tenemos suerte, podremos ver algún token/clave/secreto o cualquier otra información que nos sirva para hacernos con el control del mundo xD xD xD
Espero que os sirva de ayuda, y lo probeis en vuetros clientes para comprobar que no existen riesgos.
Gracias por leerme !!!