Estimados amigos de Inseguros !!!
Dentro del proceso de hacking a entornos Azure buscamos información sensible con los permisos que tiene el usuario que tenemos. Al igual que hacemos con AD On premise, debemos aprovechar al máximo el nivel del usuario, o buscarnos otro...
Si tenemos la suerte de poder ser global reader en una suscripción o grupo de recursos, podemos acceder al historial de despliegues que se han hecho en ese Resource Group.
Por defecto Azure guarda los últimos 800 despliegues, es más, si llegas a esa cifra, no podrás hacer un warning hasta que Azure haga un borrado como pila y puedas.
Todo esto desde el portal.
Si usamos la herramienta MicroBurst podemos hacer un Gez-AzDomainInfo y nos lo tira, junto a todo el inventario, a un fichero donde poder indagar.
Si lo hemos hecho bien, por ejemplo, cuando implementas una máquina virtual desde el portal, el campo contraseña aparece como SecureString y no se ve, pero si has hecho el despliegue desde un "github por ahí" y el desarrollador no ha puesto bien el campo, podremos cazar contraseñas.
También puede ser que pillemos usuarios de portales, en fin, información que a priori nos puede seguir para nuestro proceso de hacking.
Puedes borrar gráficamente los despliegues. Puedes hacerlo dentro de tu ciclo de Devops, puedes hacerlo con powershell az group deployment delete --name name --resource-group name Lo que no he podido saber es como quitar este comportamiento, sospecho que no se puede por el tema de los rollbacks.
Esta técnica, herramienta y muchas más vamos a ver la primera semana de Mayo en el curso avanzado de seguridad Azure & O365. Aún quedas plazas y lo puedes subvencionar.
Si quieres más info. ya sabes !! https://formacion.seguridadsi.com/courses/seguridadazure0365
Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.