Estimados amigos de Inseguros !!!
Dentro del proceso de hacking a entornos Azure buscamos información sensible con los permisos que tiene el usuario que tenemos. Al igual que hacemos con AD On premise, debemos aprovechar al máximo el nivel del usuario, o buscarnos otro…
Si tenemos la suerte de poder ser global reader en una suscripción o grupo de recursos, podemos acceder al historial de despliegues que se han hecho en ese Resource Group.
Por defecto Azure guarda los últimos 800 despliegues, es más, si llegas a esa cifra, no podrás hacer un warning hasta que Azure haga un borrado como pila y puedas.
Podemos ver las entradas y salidas, o descargarnos el código completo.
Todo esto desde el portal.
Si usamos la herramienta
MicroBurst podemos hacer un Gez-AzDomainInfo y nos lo tira, junto a todo el inventario, a un fichero donde poder indagar.
Si lo hemos hecho bien, por ejemplo, cuando implementas una máquina virtual desde el portal, el campo contraseña aparece como SecureString y no se ve, pero si has hecho el despliegue desde un «github por ahí» y el desarrollador no ha puesto bien el campo, podremos cazar contraseñas.
También puede ser que pillemos usuarios de portales, en fin, información que a priori nos puede seguir para nuestro proceso de hacking.
Puedes borrar gráficamente los despliegues. Puedes hacerlo dentro de tu ciclo de Devops, puedes hacerlo con powershell az group deployment delete –name name –resource-group name Lo que no he podido saber es como quitar este comportamiento, sospecho que no se puede por el tema de los rollbacks.
Esta técnica, herramienta y muchas más vamos a ver la primera semana de Mayo en el curso avanzado de seguridad Azure & O365. Aún quedas plazas y lo puedes subvencionar.
Si quieres más info. ya sabes !! https://formacion.seguridadsi.com/courses/seguridadazure0365