Para auditar um ambiente AZURE, é muito importante saber: quais serviços estão sendo usados, o que está sendo exposto, quem tem acesso a quê e como os serviços internos do Azure e os serviços externos estão conectados.

Do ponto de vista do Red Team, o primeiro passo para comprometer um ambiente Azure é conseguir obter algum ponto de apoio.

Enumeração Externa & Acesso Inicial

O primeiro passo é, claro, enumerar informações sobre o inquilino que você está atacando e tentar obter um ponto de apoio.

Com base no nome de domínio, é possível saber se a empresa está usando Azure, obter o ID do inquilino, obter outros domínios válidos no mesmo inquilino (se houver mais) e obter informações relevantes como se o SSO está habilitado, configurações de e-mail, e-mails de usuários válidos...

Verifique a página a seguir para aprender como realizar a enumeração externa:

{{#ref}} az-unauthenticated-enum-and-initial-entry/ {{#endref}}

Com essas informações, as maneiras mais comuns de tentar obter um ponto de apoio são:

OSINT: Verifique se há vazamentos no Github ou em qualquer outra plataforma de código aberto que possa conter credenciais ou informações interessantes.
Reutilização de senhas, vazamentos ou password spraying
Comprar credenciais de um funcionário
Phishing Comum (credenciais ou aplicativo Oauth)
Phishing de Autenticação por Código de Dispositivo
terceiros comprometidos
Vulnerabilidades em Aplicações Hospedadas no Azure
Server Side Request Forgery com acesso ao endpoint de metadados
Tomadas de subdomínio como em https://godiego.co/posts/STO-Azure/
Outras configurações incorretas de serviços do Azure
Se algum laptop de desenvolvedor estiver comprometido (WinPEAS e LinPEAS podem encontrar essas informações):
Dentro de <HOME>/.Azure
azureProfile.json contém informações sobre usuários logados no passado
clouds.config contém informações sobre assinaturas
service_principal_entries.json contém credenciais de aplicativos (ID do inquilino, clientes e segredo). Apenas no Linux e macOS
msal_token_cache.json contém tokens de acesso e tokens de atualização. Apenas no Linux e macOS
service_principal_entries.bin e msal_token_cache.bin são usados no Windows e são criptografados com DPAPI
msal_http_cache.bin é um cache de requisições HTTP
Carregue: with open("msal_http_cache.bin", 'rb') as f: pickle.load(f)
AzureRmContext.json contém informações sobre logins anteriores usando Az PowerShell (mas sem credenciais)
Dentro de C:\Users\<username>\AppData\Local\Microsoft\IdentityCache\* estão vários arquivos .bin com tokens de acesso, tokens de ID e informações de conta criptografadas com o DPAPI dos usuários.
É possível encontrar mais tokens de acesso nos arquivos .tbres dentro de C:\Users\<username>\AppData\Local\Microsoft\TokenBroken\Cache\ que contêm um base64 criptografado com DPAPI com tokens de acesso.
No Linux e macOS, você pode obter tokens de acesso, tokens de atualização e tokens de ID do Az PowerShell (se usado) executando pwsh -Command "Save-AzContext -Path /tmp/az-context.json"
No Windows, isso gera apenas tokens de ID.
É possível ver se o Az PowerShell foi usado no Linux e macOS verificando se $HOME/.local/share/.IdentityService/ existe (embora os arquivos contidos estejam vazios e sejam inúteis)

Encontre outras configurações incorretas de serviços do Azure que podem levar a um ponto de apoio na página a seguir:

{{#ref}} az-unauthenticated-enum-and-initial-entry/ {{#endref}}

Note

Lembre-se de que geralmente a parte mais barulhenta da enumeração é o login, não a enumeração em si.

Ferramentas do Azure & Entra ID

As seguintes ferramentas serão super úteis para enumerar tanto inquilinos do Entra ID quanto ambientes do Azure lentamente (para evitar detecção) ou automaticamente (para economizar tempo):

{{#ref}} az-enumeration-tools.md {{#endref}}

Bypass de Políticas de Acesso

Em casos onde você tem algumas credenciais válidas, mas não consegue fazer login, estas são algumas proteções comuns que podem estar em vigor:

Whitelist de IP -- Você precisa comprometer um IP válido
Restrições geográficas -- Descubra onde o usuário mora ou onde estão os escritórios da empresa e obtenha um IP da mesma cidade (ou país, pelo menos)
Navegador -- Talvez apenas um navegador de certos SO (Windows, Linux, Mac, Android, iOS) seja permitido. Descubra qual SO a vítima/empresa usa.
Você também pode tentar comprometer credenciais de Service Principal, pois geralmente são menos limitadas e seu login é menos revisado

Após contornar isso, você pode ser capaz de voltar à sua configuração inicial e ainda terá acesso.

Verifique:

{{#ref}} az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md {{#endref}}

Whoami

Caution

Aprenda como instalar az cli, AzureAD e Az PowerShell na seção Az - Entra ID.

Uma das primeiras coisas que você precisa saber é quem você é (em qual ambiente você está):

az account list
az account tenant list # Current tenant info
az account subscription list # Current subscription info
az ad signed-in-user show # Current signed-in user
az ad signed-in-user list-owned-objects # Get owned objects by current user
az account management-group list #Not allowed by default

# Get the information about the current context (Account, Tenant, Subscription etc.)
Get-AzContext
# List all available contexts
Get-AzContext -ListAvailable
# Enumerate subscriptions accessible by the current user
Get-AzSubscription
#Get Resource group
Get-AzResourceGroup

#Get the current session
Get-MgContext

#Get the current session state
Get-AzureADCurrentSessionInfo
#Get details of the current tenant
Get-AzureADTenantDetail

Enumeração do Entra ID & Privesc

Por padrão, qualquer usuário deve ter permissões suficientes para enumerar coisas como usuários, grupos, funções, principais de serviço... (ver permissões padrão do AzureAD).
Você pode encontrar aqui um guia:

{{#ref}} az-services/az-azuread.md {{#endref}}

Verifique as ferramentas de Pós-Exploração para encontrar ferramentas para escalar privilégios no Entra ID, como AzureHound:

{{#ref}} az-enumeration-tools.md#automated-post-exploitation-tools {{#endref}}

Enumeração do Azure

Uma vez que você saiba quem é, pode começar a enumerar os serviços do Azure aos quais você tem acesso.

Você deve começar descobrindo as permissões que você tem sobre os recursos. Para isso:

Encontre o recurso ao qual você tem algum acesso:

O comando do Az PowerShell Get-AzResource permite que você saiba os recursos que seu usuário atual tem visibilidade.

Além disso, você pode obter as mesmas informações na console web acessando https://portal.azure.com/#view/HubsExtension/BrowseAll ou pesquisando por "Todos os recursos" ou executando:

az rest --method GET --url "https://management.azure.com/subscriptions/<subscription-id>/resources?api-version=2021-04-01"

Encontre as permissões que você tem sobre os recursos aos quais tem acesso e encontre os papéis atribuídos a você:

Observe que você precisa da permissão Microsoft.Authorization/roleAssignments/read para executar esta ação.

Além disso, com permissões suficientes, o papel Get-AzRoleAssignment pode ser usado para enumerar todos os papéis na assinatura ou a permissão sobre um recurso específico, indicando-o como:

Get-AzRoleAssignment -Scope /subscriptions/<subscription-id>/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4

Também é possível obter essas informações executando:

az rest --method GET --uri "https://management.azure.com/<Scope>/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"

como em:

az rest --method GET --uri "https://management.azure.com//subscriptions/<subscription-id>/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/vault-m3ww8ut4/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"

Outra opção é obter os papéis atribuídos a você no azure com:

az role assignment list --assignee "<email>" --all --output table

Ou execute o seguinte (Se os resultados estiverem vazios, pode ser porque você não tem permissão para obtê-los):

az rest --method GET --uri 'https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId eq '<user-id>'

Encontre as permissões granulares dos papéis atribuídos a você:

Em seguida, para obter a permissão granular, você pode executar (Get-AzRoleDefinition -Id "<RoleDefinitionId>").Actions.

Ou chame a API diretamente com

az rest --method GET --uri "https://management.azure.com//subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleDefinitions/<RoleDefinitionId>?api-version=2020-08-01-preview" | jq ".properties"

Na seção a seguir, você pode encontrar informações sobre os serviços Azure mais comuns e como enumerá-los:

{{#ref}} az-services/ {{#endref}}

Escalação de Privilégios, Pós-Exploração e Persistência

Uma vez que você saiba como o ambiente Azure está estruturado e quais serviços estão sendo utilizados, você pode começar a procurar maneiras de escalar privilégios, mover-se lateralmente, realizar outros ataques de pós-exploração e manter persistência.

Na seção a seguir, você pode encontrar informações sobre como escalar privilégios nos serviços Azure mais comuns:

{{#ref}} az-privilege-escalation/ {{#endref}}

Na seguinte, você pode encontrar informações sobre como realizar ataques de pós-exploração nos serviços Azure mais comuns:

{{#ref}} az-post-exploitation/ {{#endref}}

Na seguinte, você pode encontrar informações sobre como manter persistência nos serviços Azure mais comuns:

{{#ref}} az-persistence/ {{#endref}}