Az - Automation Account
Informazioni di Base
Dalla documentazione: Azure Automation fornisce un servizio di automazione basato su cloud, aggiornamenti del sistema operativo e servizio di configurazione che supporta una gestione coerente in tutti i tuoi ambienti Azure e non Azure. Include automazione dei processi, gestione della configurazione, gestione degli aggiornamenti, funzionalità condivise e funzionalità eterogenee.
Questi sono simili ai "compiti pianificati" in Azure che ti consentiranno di eseguire azioni (o anche script) per gestire, controllare e configurare l 'ambiente Azure.
Account Run As
Quando viene utilizzato l'Account Run as, crea un'applicazione Azure AD con certificato autofirmato, crea un service principal e assegna il ruolo Contributor per l'account nella sottoscrizione corrente (molti privilegi). Microsoft consiglia di utilizzare una Identità gestita per l'Account di Automazione.
Questo verrà rimosso il 30 settembre 2023 e sostituito con Identità gestite.
Runbooks & Jobs
I Runbooks ti consentono di eseguire codice PowerShell arbitrario. Questo potrebbe essere abusato da un attaccante per rubare le autorizzazioni del principale associato (se presente). Nel codice dei Runbooks potresti trovare anche informazioni sensibili (come credenziali).
Se puoi leggere i lavori, fallo poiché contengono l'output dell'esecuzione (informazioni potenzialmente sensibili).
Vai su Account di Automazione
--> <Seleziona Account di Automazione>
--> Runbooks/Lavori/Gruppi di worker ibridi/Compiti di controllo/credenziali/variabili/certificati/connessioni
Worker Ibrido
Un Runbook può essere eseguito in un contenitore all'interno di Azure o in un Worker Ibrido (macchina non-Azure). L'Agente Log Analytics viene distribuito sulla VM per registrarla come worker ibrido. I lavori del worker ibrido vengono eseguiti come SYSTEM su Windows e come account nxautomation su Linux. Ogni Worker Ibrido è registrato in un Gruppo di Worker Ibridi.
Pertanto, se puoi scegliere di eseguire un Runbook in un Worker Ibrido Windows, eseguirai comandi arbitrari all'interno di una macchina esterna come System (ottima tecnica di pivot).
Compromissione della Configurazione di Stato (SC)
Dalla documentazione: Azure Automation State Configuration è un servizio di gestione della configurazione Azure che ti consente di scrivere, gestire e compilare configurazioni di PowerShell Desired State Configuration (DSC) configurazioni per nodi in qualsiasi cloud o data center in locale. Il servizio importa anche Risorse DSC e assegna configurazioni ai nodi di destinazione, tutto nel cloud. Puoi accedere alla Configurazione di Stato di Automazione di Azure nel portale di Azure selezionando Configurazione di stato (DSC) sotto Gestione della configurazione.
Informazioni sensibili potrebbero essere trovate in queste configurazioni.
RCE
È possibile abusare di SC per eseguire script arbitrari nelle macchine gestite.
Az - State Configuration RCEEnumerazione
Creare un Runbook
Estrarre Credenziali e Variabili definite in un Account di Automazione utilizzando un Run Book
Potresti fare la stessa cosa modificando un Run Book esistente, direttamente dalla console web.
Passaggi per Configurare la Creazione Automatica di un Utente Altamente Privilegiato
1. Inizializzare un Account di Automazione
Azione Richiesta: Crea un nuovo Account di Automazione.
Impostazione Specifica: Assicurati che "Crea un account Azure Run As" sia abilitato.
2. Importare e Configurare il Runbook
Sorgente: Scarica il runbook di esempio dal Repository GitHub di MicroBurst.
Azioni Richieste:
Importa il runbook nell'Account di Automazione.
Pubblica il runbook per renderlo eseguibile.
Collega un webhook al runbook, abilitando i trigger esterni.
3. Configurare il Modulo AzureAD
Azione Richiesta: Aggiungi il modulo AzureAD all'Account di Automazione.
Passaggio Aggiuntivo: Assicurati che tutti i Moduli di Automazione di Azure siano aggiornati alla loro ultima versione.
4. Assegnazione dei Permessi
Ruoli da Assegnare:
Amministratore Utente
Proprietario della Sottoscrizione
Destinazione: Assegna questi ruoli all'Account di Automazione per i privilegi necessari.
5. Consapevolezza della Possibile Perdita di Accesso
Nota: Tieni presente che configurare tale automazione potrebbe portare alla perdita di controllo sulla sottoscrizione.
6. Attivare la Creazione dell'Utente
Attiva il webhook per creare un nuovo utente inviando una richiesta POST.
Utilizza lo script PowerShell fornito, assicurandoti di sostituire
$uri
con il tuo effettivo URL del webhook e aggiornando$AccountInfo
con il nome utente e la password desiderati.
Riferimenti
Last updated