domingo, 23 de abril de 2023

Deployment History en Azure, tu bash history en la nube: cazando passwords...

 


Estimados amigos de Inseguros !!!

Dentro del proceso de hacking a entornos Azure buscamos información sensible con los permisos que tiene el usuario que tenemos. Al igual que hacemos con AD On premise, debemos aprovechar al máximo el nivel del usuario, o buscarnos otro...

Si tenemos la suerte de poder ser global reader en una suscripción o grupo de recursos, podemos acceder al historial de despliegues que se han hecho en ese Resource Group.


 Por defecto Azure guarda los últimos 800 despliegues, es más, si llegas a esa cifra, no podrás hacer un warning hasta que Azure haga un borrado como pila y puedas. 



Podemos ver las entradas y salidas, o descargarnos el código completo.

Todo esto desde el portal.

Si usamos la herramienta MicroBurst podemos hacer un Gez-AzDomainInfo y nos lo tira, junto a todo el inventario, a un fichero donde poder indagar. 




Si lo hemos hecho bien, por ejemplo, cuando implementas una máquina virtual desde el portal, el campo contraseña aparece como SecureString y no se ve, pero si has hecho el despliegue desde un "github por ahí" y el desarrollador no ha puesto bien el campo, podremos cazar contraseñas.

También puede ser que pillemos usuarios de portales, en fin, información que a priori nos puede seguir para nuestro proceso de hacking.

Puedes borrar gráficamente los despliegues. Puedes hacerlo dentro de tu ciclo de Devops, puedes hacerlo con powershell az group deployment delete --name name --resource-group name                     Lo que no he podido saber es como quitar este comportamiento, sospecho que no se puede por el tema de los rollbacks.

Esta técnica, herramienta y muchas más vamos a ver la primera semana de Mayo en el curso avanzado de seguridad Azure & O365.  Aún quedas plazas y lo puedes subvencionar.

Si quieres más info. ya sabes !! https://formacion.seguridadsi.com/courses/seguridadazure0365

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.