Az - Automation Account
Основна інформація
З документації: Azure Automation надає хмарний сервіс автоматизації, оновлення операційної системи та конфігурації, який підтримує послідовне управління у вашому середовищі Azure та поза ним. Він включає автоматизацію процесів, управління конфігурацією, управління оновленнями, спільні можливості та гетерогенні функції.
Це схоже на "заплановані завдання" в Azure, які дозволяють вам виконувати речі (дії або навіть скрипти) для управління, перевірки та налаштування середовища Azure.
Обліковий запис Run As
Коли використовується Обліковий запис Run as, він створює додаток Azure AD з самопідписаним сертифікатом, створює службовий принципал та надає роль Contributor для облікового запису в поточній підписці Azure (багато привілеїв). Microsoft рекомендує використовувати Управлінську ідентичність для облікового запису автоматизації.
Це буде видалено 30 вересня 2023 року та замінено на Управлінські ідентичності.
Runbooks та Роботи
Runbooks дозволяють вам виконувати довільний код PowerShell. Це може бути зловживано зловмисником для крадіжки дозволів прикріпленого принципала (якщо такий є). У коді Runbooks ви також можете знайти чутливу інформацію (таку як облікові дані).
Якщо ви можете читати роботи, зробіть це, оскільки вони містять вивід виконання (можлива чутлива інформація).
Перейдіть до Облікові записи автоматизації
--> <Виберіть обліковий запис автоматизації>
--> Runbooks/Роботи/Гібридні робочі групи/Завдання спостерігача/Облікові дані/Змінні/Сертифікати/З'єднання
Гібридний робітник
Runbook може бути запущений в контейнері всередині Azure або в Гібридному робітнику (машині поза Azure). На ВМ встановлюється агент Log Analytics для реєстрації його як гібридного робітника. Роботи гібридного робітника виконуються як SYSTEM на Windows та обліковий запис nxautomation на Linux. Кожен Гібридний робітник реєструється в Групі гібридних робітників.
Отже, якщо ви можете вибрати запуск Runbook в Гібридному робітнику Windows, ви виконаєте довільні команди всередині зовнішньої машини як System (чудова техніка півоту).
Компрометація стану конфігурації (SC)
З документації: Azure Automation State Configuration - це служба управління конфігурацією Azure, яка дозволяє вам писати, управляти та компілювати конфігурації PowerShell Desired State Configuration (DSC) configurations для вузлів у будь-якому хмарі або в центрі обробки даних на місці. Служба також імпортує DSC Resources та призначає конфігурації цільовим вузлам, все це в хмарі. Ви можете отримати доступ до Azure Automation State Configuration в порталі Azure, вибравши State configuration (DSC) під Управління конфігурацією.
У цих конфігураціях може бути знайдена чутлива інформація.
RCE
Можливо використовувати SC для запуску довільних скриптів на керованих машинах.
pageAz - State Configuration RCEПерелік
Витягнення облікових даних та змінних, визначених в обліковому записі автоматизації за допомогою робочого зошита
Ви можете зробити те саме, модифікуючи існуючий Run Book, а також з веб-консолі.
Кроки для налаштування автоматизованого створення користувача з високими привілеями
1. Ініціалізувати обліковий запис автоматизації
Необхідна дія: Створіть новий обліковий запис автоматизації.
Конкретна настройка: Переконайтеся, що "Створення облікового запису Azure Run As" увімкнено.
2. Імпорт та налаштування Runbook
Джерело: Завантажте зразок runbook з сховища MicroBurst GitHub.
Необхідні дії:
Імпортуйте runbook в обліковий запис автоматизації.
Опублікуйте runbook, щоб зробити його виконавчим.
Прикріпіть webhook до runbook, увімкнувши зовнішні спрацювання.
3. Налаштування модуля AzureAD
Необхідна дія: Додайте модуль AzureAD до облікового запису автоматизації.
Додатковий крок: Переконайтеся, що всі модулі автоматизації Azure оновлені до останніх версій.
4. Призначення дозволів
Ролі для призначення:
Адміністратор користувачів
Власник підписки
Ціль: Призначте ці ролі обліковому запису автоматизації для необхідних привілеїв.
5. Усвідомлення можливої втрати доступу
Примітка: Будьте уважні, що налаштування такої автоматизації може призвести до втрати контролю над підпискою.
6. Запуск створення користувача
Запустіть webhook для створення нового користувача, надіславши запит POST.
Використовуйте наданий сценарій PowerShell, переконавшись, що заміните
$uri
на фактичний URL webhook та оновите$AccountInfo
із бажаним ім'ям користувача та паролем.
Посилання
Last updated