Phát hiện và Khai thác Microsoft Azure Arc: Mở rộng Tầm nhìn về Điểm Yếu trong Môi trường Lai
Các nhà nghiên cứu bảo mật đã phát hiện ra các phương pháp mới để nhận diện và tận dụng Microsoft Azure Arc trong môi trường doanh nghiệp. Đây là một bước tiến đáng kể trong an ninh mạng, tiềm ẩn khả năng phơi bày các điểm yếu trong hệ thống quản lý lai này.
Microsoft Azure Arc được giới thiệu vào năm 2019, mở rộng khả năng quản lý gốc của Azure đến các tài nguyên không phải Azure, bao gồm các máy chủ on-premises và cụm Kubernetes. Quá trình này được thực hiện thông qua Azure Resource Manager, cho phép kiểm soát tập trung các tài nguyên phân tán. Tuy nhiên, một phân tích kỹ thuật chi tiết gần đây đã chỉ ra cách các tác nhân độc hại có thể xác định chính xác các triển khai Azure Arc bằng cách phân tích các chỉ số cụ thể trên cả hệ thống Azure cloud và on-premises.
Phát hiện này không chỉ hỗ trợ quá trình trinh sát mà còn định vị Azure Arc như một vector tiềm năng để duy trì quyền truy cập (persistence) và leo thang đặc quyền (privilege escalation) trong các hạ tầng lai. Nghiên cứu đã làm nổi bật những dấu vết quan trọng giúp phơi bày sự hiện diện của Arc, biến nó thành mục tiêu hấp dẫn cho các tác nhân độc hại.
Phương pháp Nhận diện Azure Arc
Việc nhận diện sự hiện diện của Azure Arc là bước đầu tiên để các nhà nghiên cứu hoặc kẻ tấn công có thể tiến hành các hoạt động tiếp theo. Các dấu hiệu này tồn tại cả trong môi trường Azure cloud và trên các hệ thống on-premises.
Nhận diện trong Môi trường Azure Cloud
Trong môi trường Azure, các dấu hiệu tinh vi có thể được truy cập ngay cả bởi người dùng không có đặc quyền thông qua các công cụ như ROADrecon và AzureHound. Các chỉ số chính bao gồm:
* Service Principals: Sự tồn tại của các Service Principal được đặt tên là “Arc Token Service“. Đây là các danh tính ứng dụng được sử dụng bởi Azure Arc để xác thực và ủy quyền truy cập vào các tài nguyên Azure.
* Tags có thể nhận diện: Các tag như “AzureArcSPN” được gán cho các tài nguyên có liên quan đến triển khai Azure Arc.
* Managed Identities: Đối với các hệ thống được tích hợp vào Azure Arc, Managed Identities của chúng sẽ chứa định danh “Microsoft.HybridCompute” trong ResourceID. Việc liệt kê các Managed Identities này có thể tiết lộ các thiết bị được quản lý bởi Arc trên các tenant khác nhau.
Nhận diện trên Hệ thống On-Premises
Trên các hệ thống on-premises, quá trình cài đặt Azure Arc để lại các dấu vết rõ ràng, cho phép kẻ tấn công tiến hành trinh sát:
* Thư mục cài đặt: Sự hiện diện của thư mục cài đặt mặc định của tác nhân Azure Connected Machine, ví dụ: “C:\Program Files\AzureConnectedMachineAgent“.
* Tiến trình đang chạy: Các tiến trình đặc trưng của Azure Arc như “gc_arc_service.exe” chạy trên hệ thống.
* Artifact triển khai: Các đối tượng được tạo tự động trong quá trình triển khai, chẳng hạn như Group Policy Objects (GPOs) có nhãn “[MSFT] Azure Arc Servers Onboarding“. Đây là các cấu hình chính sách nhóm được tạo ra để tự động hóa việc tích hợp máy chủ vào Azure Arc.
Khai thác Azure Arc để duy trì Quyền truy cập và Leo thang Đặc quyền
Ngoài việc phát hiện, nghiên cứu còn đi sâu vào việc khai thác Azure Arc như một cơ chế mạnh mẽ để duy trì quyền truy cập “out-of-band” trong môi trường doanh nghiệp. Các phát hiện chi tiết cách kẻ tấn công có thể khôi phục thông tin đăng nhập và thực thi mã độc.
Khôi phục Thông tin Đăng nhập và Thực thi Mã
Thông tin đăng nhập thường được mã hóa cứng (hardcoded) trong các script triển khai hoặc liên kết với các Service Principal bị cấu hình sai, được gán các vai trò có quyền hạn quá mức như “Azure Connected Machine Resource Administrator“. Vai trò này có thể cung cấp quyền kiểm soát đáng kể đối với các tài nguyên Azure Arc.
Tận dụng quyền truy cập như vậy, kẻ tấn công có thể thực thi mã tùy ý trên các hệ thống được quản lý bởi Arc bằng cách sử dụng các tính năng như Run Commands và Custom Script Extensions (CSEs).
* Run Commands: Cho phép thực thi các lệnh hoặc script trực tiếp trên máy chủ được quản lý từ Azure Portal hoặc Azure CLI.
* Custom Script Extensions (CSEs): Cho phép tải xuống và thực thi các script tùy chỉnh trên máy chủ ảo, thường được dùng để cấu hình phần mềm hoặc cài đặt ứng dụng.
Các cơ chế mạnh mẽ này chạy trong ngữ cảnh của NT_AUTHORITY\SYSTEM, cho phép thực thi lệnh từ xa và tải xuống tệp, sao chép các chức năng thường liên quan đến máy ảo Azure. Điều này có nghĩa là bất kỳ mã độc nào được thực thi thông qua Run Commands hoặc CSEs sẽ có quyền cao nhất trên hệ thống, cho phép kiểm soát hoàn toàn.
Thiết lập Kênh Truy cập Bí mật
Một tiết lộ đặc biệt đáng báo động là khả năng triển khai các máy khách Arc đến các hệ thống không được quản lý, sau đó liên kết chúng với một tenant Azure do kẻ tấn công kiểm soát. Điều này tạo ra một kênh bí mật để duy trì quyền truy cập ngay cả trong các môi trường lai được nối (hybrid-joined). Kỹ thuật này cho phép kẻ tấn công thiết lập một “cầu nối” từ môi trường on-premises sang Azure của chúng, vượt qua nhiều cơ chế phòng thủ truyền thống.
Rủi ro Bảo mật và Khuyến nghị Phòng thủ
Tiềm năng khai thác này nhấn mạnh các rủi ro bảo mật sâu sắc vốn có trong các triển khai Azure Arc, đặc biệt khi chúng bị phức tạp hóa bởi các cấu hình sai phổ biến như:
* Service Principals có quyền hạn quá mức: Các Service Principal được gán các vai trò có quyền hạn vượt quá mức cần thiết cho hoạt động bình thường.
* Chia sẻ triển khai được bảo mật kém: Các vị trí lưu trữ script hoặc tệp triển khai không được bảo vệ đúng cách, cho phép kẻ tấn công truy cập thông tin nhạy cảm hoặc sửa đổi các tệp này.
Những sai sót này có thể tạo điều kiện cho sự leo thang nguy hiểm từ môi trường on-premises lên môi trường đám mây, tạo cầu nối các đường tấn công qua các hạ tầng lai.
Để đối phó với những mối đe dọa tinh vi này, các nhà nghiên cứu khuyến nghị áp dụng các biện pháp phòng thủ nghiêm ngặt, bao gồm:
* Thực thi kiểm soát truy cập chặt chẽ: Đảm bảo nguyên tắc đặc quyền tối thiểu (least privilege) được áp dụng cho tất cả người dùng và Service Principals tương tác với Azure Arc.
* Thực hiện đánh giá định kỳ các vai trò được gán: Thường xuyên kiểm tra và rà soát các quyền hạn được gán cho Service Principals và người dùng liên quan đến Azure Arc để loại bỏ các quyền không cần thiết.
* Triển khai allowlisting cho các extension: Hạn chế các hành động trái phép bằng cách chỉ cho phép các extension đã được phê duyệt được cài đặt và thực thi trên các hệ thống được quản lý bởi Arc.
Nghiên cứu toàn diện này đóng vai trò như một lời cảnh tỉnh cho các tổ chức đang tận dụng Azure Arc, nhấn mạnh nhu cầu cấp bách về các chiến lược bảo mật mạnh mẽ để bảo vệ môi trường lai chống lại các vector tấn công đang phát triển, vốn lợi dụng chính các công cụ được thiết kế để hợp lý hóa việc quản lý.
