diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md index c1543de3e..c1bf8e92e 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md @@ -26,7 +26,7 @@ az storage message get --queue-name --account-name --content "Injected malicious message" --account-name ``` @@ -52,13 +52,13 @@ az storage queue delete --name --account-name ``` ### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete` -Con este permiso, un atacante puede eliminar todos los mensajes de una Cola de Almacenamiento de Azure. Esta acción elimina todos los mensajes, interrumpiendo flujos de trabajo y causando pérdida de datos para los sistemas dependientes de la cola. +Con este permiso, un atacante puede eliminar todos los mensajes de una Azure Storage Queue. Esta acción elimina todos los mensajes, interrumpiendo flujos de trabajo y causando pérdida de datos para los sistemas dependientes de la cola. ```bash az storage message clear --queue-name --account-name ``` ### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/write` -Este permiso permite a un atacante crear o modificar colas y sus propiedades dentro de la cuenta de almacenamiento. Se puede utilizar para crear colas no autorizadas, modificar metadatos o cambiar listas de control de acceso (ACLs) para otorgar o restringir acceso. Esta capacidad podría interrumpir flujos de trabajo, inyectar datos maliciosos, exfiltrar información sensible o manipular configuraciones de colas para habilitar ataques adicionales. +Este permiso permite a un atacante crear o modificar colas y sus propiedades dentro de la cuenta de almacenamiento. Se puede utilizar para crear colas no autorizadas, modificar metadatos o cambiar listas de control de acceso (ACLs) para otorgar o restringir el acceso. Esta capacidad podría interrumpir flujos de trabajo, inyectar datos maliciosos, exfiltrar información sensible o manipular configuraciones de colas para habilitar ataques adicionales. ```bash az storage queue create --name --account-name diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md index d5c542783..8be06d56d 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md @@ -43,7 +43,7 @@ az servicebus queue update --resource-group --namespace-name ``` ### Acciones: `Microsoft.ServiceBus/namespaces/topics/write` (`Microsoft.ServiceBus/namespaces/topics/read`) -Un atacante con permisos para crear o modificar temas (para modificar el tema también necesitarás la Acción: `Microsoft.ServiceBus/namespaces/topics/read`) dentro de un espacio de nombres de Azure Service Bus puede explotar esto para interrumpir flujos de mensajes, exponer datos sensibles o habilitar acciones no autorizadas. Usando comandos como az servicebus topic update, pueden manipular configuraciones como habilitar la partición para un uso indebido de escalabilidad, alterar configuraciones de TTL para retener o descartar mensajes de manera inapropiada, o deshabilitar la detección de duplicados para eludir controles. Además, podrían ajustar los límites de tamaño del tema, cambiar el estado para interrumpir la disponibilidad, o configurar temas expresos para almacenar temporalmente mensajes interceptados, haciendo que la gestión de temas sea un enfoque crítico para la mitigación post-explotación. +Un atacante con permisos para crear o modificar temas (para modificar el tema también necesitarás la Acción: `Microsoft.ServiceBus/namespaces/topics/read`) dentro de un espacio de nombres de Azure Service Bus puede explotar esto para interrumpir flujos de mensajes, exponer datos sensibles o habilitar acciones no autorizadas. Usando comandos como az servicebus topic update, pueden manipular configuraciones como habilitar la partición para un uso indebido de escalabilidad, alterar configuraciones de TTL para retener o descartar mensajes de manera inapropiada, o deshabilitar la detección de duplicados para eludir controles. Además, podrían ajustar los límites de tamaño del tema, cambiar el estado para interrumpir la disponibilidad, o configurar temas expresos para almacenar temporalmente mensajes interceptados, lo que convierte la gestión de temas en un enfoque crítico para la mitigación post-explotación. ```bash az servicebus topic create --resource-group --namespace-name --name az servicebus topic update --resource-group --namespace-name --name diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md index 6952477b0..2b6764306 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md @@ -39,9 +39,9 @@ az servicebus namespace authorization-rule update \ --name RootManageSharedAccessKey \ --rights Manage Listen Send ``` -### Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/ListKeys/action O Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/regenerateKeys/action +### Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/ListKeys/action OR Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/regenerateKeys/action -Temas y colas específicos dentro de un espacio de nombres de Service Bus pueden tener sus propias reglas de autorización, que se pueden usar para controlar el acceso a la entidad. Al tener estos permisos, puedes **recuperar o regenerar las claves para estas reglas de autorización locales**, lo que te permite autenticarte como la entidad y potencialmente enviar o recibir mensajes, gestionar suscripciones o interactuar con el sistema de maneras que podrían interrumpir las operaciones, suplantar a usuarios válidos o inyectar datos maliciosos en el flujo de mensajería. +Temas y colas específicos dentro de un espacio de nombres de Service Bus pueden tener sus propias reglas de autorización, que se pueden usar para controlar el acceso a la entidad. Al tener estos permisos, puedes **recuperar o regenerar las claves para estas reglas de autorización locales**, lo que te permite autenticarte como la entidad y potencialmente enviar o recibir mensajes, gestionar suscripciones o interactuar con el sistema de maneras que podrían interrumpir las operaciones, suplantar usuarios válidos o inyectar datos maliciosos en el flujo de mensajería. ```bash # List keys (topics) az servicebus topic authorization-rule keys list --resource-group --namespace-name --topic-name --name @@ -129,9 +129,9 @@ az rest --method post \ --body "" ``` -### Recibir con claves (Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action OR Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action) +### Recibir con claves (Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action O Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action) -Puedes recuperar el PrimaryConnectionString, que sirve como una credencial para el espacio de nombres de Service Bus. Usando esta cadena de conexión, puedes recibir mensajes de cualquier cola o suscripción dentro del espacio de nombres, lo que permite el acceso a datos potencialmente sensibles o críticos, habilitando la exfiltración de datos o interfiriendo con el procesamiento de mensajes y los flujos de trabajo de la aplicación. Este método funciona si `--disable-local-auth` está configurado como false. +Puedes recuperar el PrimaryConnectionString, que sirve como una credencial para el espacio de nombres de Service Bus. Usando esta cadena de conexión, puedes recibir mensajes de cualquier cola o suscripción dentro del espacio de nombres, lo que permite el acceso a datos potencialmente sensibles o críticos, habilitando la exfiltración de datos o interfiriendo con el procesamiento de mensajes y flujos de trabajo de aplicaciones. Este método funciona si `--disable-local-auth` está configurado como falso. ```python import asyncio from azure.servicebus.aio import ServiceBusClient diff --git a/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md b/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md index 1918102e0..5b862cb6b 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md +++ b/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md @@ -4,7 +4,7 @@ ## Información Básica -Azure Queue Storage es un servicio en la plataforma de nube Azure de Microsoft diseñado para la cola de mensajes entre componentes de la aplicación, **permitiendo la comunicación asíncrona y desacoplando**. Te permite almacenar un número ilimitado de mensajes, cada uno de hasta 64 KB de tamaño, y soporta operaciones como crear y eliminar colas, agregar, recuperar, actualizar y eliminar mensajes, así como gestionar metadatos y políticas de acceso. Aunque típicamente procesa mensajes en un orden de primero en entrar, primero en salir (FIFO), no se garantiza un FIFO estricto. +Azure Queue Storage es un servicio en la plataforma de nube Azure de Microsoft diseñado para la **comunicación asíncrona y desacoplada** entre componentes de aplicación. Permite almacenar un número ilimitado de mensajes, cada uno de hasta 64 KB de tamaño, y soporta operaciones como crear y eliminar colas, agregar, recuperar, actualizar y eliminar mensajes, así como gestionar metadatos y políticas de acceso. Aunque típicamente procesa mensajes en un orden de primero en entrar, primero en salir (FIFO), no se garantiza un FIFO estricto. ### Enumeración diff --git a/src/pentesting-cloud/azure-security/az-services/az-sql.md b/src/pentesting-cloud/azure-security/az-services/az-sql.md index b6d50ce4b..3c088225d 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-sql.md +++ b/src/pentesting-cloud/azure-security/az-services/az-sql.md @@ -8,9 +8,9 @@ Azure SQL es una familia de productos gestionados, seguros e inteligentes que ut Azure SQL consta de cuatro ofertas principales: -1. **Azure SQL Server**: Azure SQL Server es un servicio de base de datos relacional gestionado que simplifica la implementación y gestión de bases de datos SQL Server, con características de seguridad y rendimiento integradas. +1. **Azure SQL Server**: Azure SQL Server es un servicio de base de datos relacional gestionado que simplifica el despliegue y la gestión de bases de datos SQL Server, con características de seguridad y rendimiento integradas. 2. **Azure SQL Database**: Este es un **servicio de base de datos totalmente gestionado**, que te permite alojar bases de datos individuales en la nube de Azure. Ofrece inteligencia incorporada que aprende tus patrones únicos de base de datos y proporciona recomendaciones personalizadas y ajuste automático. -3. **Azure SQL Managed Instance**: Esto es para implementaciones a gran escala, de toda la instancia de SQL Server. Proporciona casi un 100% de compatibilidad con el motor de base de datos SQL Server en las instalaciones (Edición Enterprise), que ofrece una implementación nativa de red virtual (VNet) que aborda preocupaciones comunes de seguridad, y un modelo de negocio favorable para los clientes de SQL Server en las instalaciones. +3. **Azure SQL Managed Instance**: Esto es para despliegues a gran escala, de toda la instancia de SQL Server. Proporciona casi un 100% de compatibilidad con el motor de base de datos SQL Server en las instalaciones (Edición Empresarial), que ofrece una implementación nativa de red virtual (VNet) que aborda preocupaciones comunes de seguridad, y un modelo de negocio favorable para los clientes de SQL Server en las instalaciones. 4. **Azure SQL Server en Azure VMs**: Esto es Infraestructura como Servicio (IaaS) y es mejor para migraciones donde deseas **control sobre el sistema operativo y la instancia de SQL Server**, como si fuera un servidor que se ejecuta en las instalaciones. ### Azure SQL Server @@ -19,7 +19,7 @@ Azure SQL Server es un sistema de gestión de bases de datos relacionales (RDBMS #### Red -**Conectividad de Red**: Elige si habilitar el acceso a través de un punto final público o privado. Si seleccionas Sin acceso, no se crean puntos finales hasta que se configure manualmente: +**Conectividad de Red**: Elige si habilitar el acceso a través de un punto final público o un punto final privado. Si seleccionas Sin acceso, no se crean puntos finales hasta que se configure manualmente: - Sin acceso: No se configuran puntos finales, bloqueando conexiones entrantes hasta que se configuren manualmente. - Punto final público: Permite conexiones directas a través de Internet público, sujeto a reglas de firewall y otras configuraciones de seguridad. - Punto final privado: Restringe la conectividad a una red privada. @@ -27,7 +27,7 @@ Azure SQL Server es un sistema de gestión de bases de datos relacionales (RDBMS **Política de Conexión**: Define cómo los clientes se comunican con el servidor de base de datos SQL: - Predeterminado: Utiliza una política de redirección para todas las conexiones de clientes desde dentro de Azure (excepto aquellas que utilizan Puntos Finales Privados) y una política de proxy para conexiones desde fuera de Azure. - Proxy: Rutea todas las conexiones de clientes a través de la puerta de enlace de Azure SQL Database. -- Redirección: Los clientes se conectan directamente al nodo que aloja la base de datos. +- Redirigir: Los clientes se conectan directamente al nodo que aloja la base de datos. #### Métodos de Autenticación Azure SQL admite varios métodos de autenticación para asegurar el acceso a la base de datos: @@ -46,9 +46,9 @@ Otras características de seguridad que tiene el servidor SQL son: - **Cifrado de Datos Transparente (TDE)**: TDE cifra tus bases de datos, copias de seguridad y registros en reposo para proteger tus datos incluso si el almacenamiento se ve comprometido. Se puede hacer con una clave gestionada por el servicio o una clave gestionada por el cliente. - **Microsoft Defender para SQL**: Microsoft Defender para SQL se puede habilitar ofreciendo evaluaciones de vulnerabilidad y protección avanzada contra amenazas para un servidor. -#### Modelos de Implementación +#### Modelos de Despliegue -Azure SQL Database admite opciones de implementación flexibles para satisfacer diversas necesidades: +Azure SQL Database admite opciones de despliegue flexibles para satisfacer diversas necesidades: - **Base de Datos Única**: - Una base de datos totalmente aislada con sus propios recursos dedicados. @@ -65,11 +65,11 @@ Azure SQL Database admite opciones de implementación flexibles para satisfacer - **Siempre Actualizado**: Se ejecuta en la última versión estable de SQL Server y recibe nuevas características y parches automáticamente. - **Capacidades de PaaS**: Alta disponibilidad, copias de seguridad y actualizaciones integradas. -- **Flexibilidad de Datos**: Admite datos relacionales y no relacionales (por ejemplo, gráficos, JSON, espacial y XML). +- **Flexibilidad de Datos**: Admite datos relacionales y no relacionales (por ejemplo, gráficos, JSON, espaciales y XML). #### Red -**Conectividad de Red**: Elige si habilitar el acceso a través de un punto final público o privado. Si seleccionas Sin acceso, no se crean puntos finales hasta que se configure manualmente: +**Conectividad de Red**: Elige si habilitar el acceso a través de un punto final público o un punto final privado. Si seleccionas Sin acceso, no se crean puntos finales hasta que se configure manualmente: - Sin acceso: No se configuran puntos finales, bloqueando conexiones entrantes hasta que se configuren manualmente. - Punto final público: Permite conexiones directas a través de Internet público, sujeto a reglas de firewall y otras configuraciones de seguridad. - Punto final privado: Restringe la conectividad a una red privada. @@ -77,7 +77,7 @@ Azure SQL Database admite opciones de implementación flexibles para satisfacer **Política de Conexión**: Define cómo los clientes se comunican con el servidor de base de datos SQL: - Predeterminado: Utiliza una política de redirección para todas las conexiones de clientes desde dentro de Azure (excepto aquellas que utilizan Puntos Finales Privados) y una política de proxy para conexiones desde fuera de Azure. - Proxy: Rutea todas las conexiones de clientes a través de la puerta de enlace de Azure SQL Database. -- Redirección: Los clientes se conectan directamente al nodo que aloja la base de datos. +- Redirigir: Los clientes se conectan directamente al nodo que aloja la base de datos. #### Características de Seguridad @@ -103,7 +103,7 @@ Azure SQL Database admite opciones de implementación flexibles para satisfacer #### Monitoreo y Optimización Integrados -- **Consulta Almacenada**: Realiza un seguimiento de problemas de rendimiento, identifica los principales consumidores de recursos y ofrece recomendaciones prácticas. +- **Consulta Almacén**: Realiza un seguimiento de problemas de rendimiento, identifica los principales consumidores de recursos y ofrece recomendaciones prácticas. - **Ajuste Automático**: Optimiza proactivamente el rendimiento con características como indexación automática y correcciones de planes de consulta. - **Integración de Telemetría**: Admite monitoreo a través de Azure Monitor, Event Hubs o Azure Storage para obtener información personalizada. @@ -112,7 +112,7 @@ Azure SQL Database admite opciones de implementación flexibles para satisfacer - **Copias de seguridad automáticas**: SQL Database realiza automáticamente copias de seguridad completas, diferenciales y de registros de transacciones de bases de datos. - **Restauración a un Punto en el Tiempo**: Recupera bases de datos a cualquier estado anterior dentro del período de retención de copias de seguridad. - **Geo-Redundancia** -- **Grupos de Conmutación por Error**: Simplifica la recuperación ante desastres agrupando bases de datos para la conmutación automática entre regiones. +- **Grupos de Conmutación por Error**: Simplifica la recuperación ante desastres agrupando bases de datos para la conmutación por error automática entre regiones. ### Azure SQL Managed Instance