Microsoft’un bulut hizmetleri geliri %46 büyüdü 2022’nin ilk çeyreğinde ve bulut pazar payı neredeyse %9 arttı 2017’den beri. Azure nihayet ana akım tarafından ciddi bir şekilde kullanıldığından, şimdi Azure kötüye kullanım araştırmasına katılmak için ideal zaman. Ortalıkta keşfedilmemiş birçok kötüye kullanım ilkel var, çok sayıda yanlış yapılandırma borcu var ve Azure’u daha ciddi bir şekilde hedeflemeye başlayan artan sayıda rakip var.
Hatalar veya yazılım açıklarından yararlanma yerine neden kötüye kullanım ilkellerini aramak için zaman harcıyorsunuz? Kötüye kullanımların raf ömrü, hatalardan ve sıfır günden çok daha uzundur ve bakımları daha ucuzdur. Saldırganlar için daha da önemlisi, söz konusu yazılımın neredeyse tüm uygulamalarında bulunurlar ve savunucuların algılaması ve engellemesi çok daha zordur. Bu nedenle, düzeltilebilmeleri veya azaltılabilmesi için araştırmacıların yeni kötüye kullanım seçeneklerini ortaya çıkarmaları hayati önem taşımaktadır.
Azure’da belirli bir sistemi araştırmak ve yeni saldırı ilkeleri bulmaya çalışmak için benim beş adımlı sürecim burada. Bu yaklaşımı takip etmek zamandan tasarruf etmenize, yolda kalmanıza ve daha iyi sonuçlar almanıza yardımcı olacaktır.
Birinci Adım: Sonunu Düşünerek Başlayın
Öncelikle, seçtiğiniz sisteminizin nasıl çalıştığını, Azure’daki diğer sistemlerle nasıl etkileşime girdiğini ve nasıl kötüye kullanılabileceğini anlamanız gerekir. Bunun ötesinde, nihai ürününüzün ne olacağını düşünün – bir blog yazısı mı? Konferans oturumu mu? Açık kaynaklı bir araca yönelik savunma amaçlı iyileştirme yönergeleri veya güncellemeler mi? Bu varlıkları oluşturmak için neyin gerekli olduğunu belirleyin. Savunmacıların bu tehlikeli konfigürasyonları ve kötüye kullanım kodunu kontrol edebilmeleri için denetim kodu üretmeyi de düşünün, böylece diğerleri bu konfigürasyonların nasıl kötüye kullanılabileceğini kolayca doğrulayabilir. Bunlar, odağınızı korumanıza, gereksiz tavşan deliklerinden kaçınmanıza ve değerli bir sonuç elde etmenize yardımcı olacak araştırmanız için “başarı kriterleridir”.
İkinci Adım: Sistemin Amacı ve Tasarımını İnceleyin
Tam olarak neyi keşfetmeniz gerektiğini öğrendikten sonra, herkesin yapacağı gibi araştırmaya başlayın – Google’da arama yapın ve resmi belgeleri okuyun. Kötüye kullanılabilir görünen herhangi bir şey arayın (örneğin, parolaları ve gerekli izinleri sıfırlama yeteneği), bunları daha ayrıntılı inceleyin ve ilerledikçe not alın.
Çalışmanızın konusunu oluşturmaya dahil olan ürün mimarlarını veya diğer Microsoft çalışanlarını belirlemek için LinkedIn’i kullanın. LinkedIn ve Twitter beslemelerini inceleyin ve yazdıkları veya yeniden yayınladıkları kaynakları arayın (blog gönderileri, konferans sunumları vb.). Bu hizmetle ilişkili forumlar veya GitHub depoları gibi topluluk kaynaklarına gidin, çünkü bu kullanıcı grupları genellikle sorunlar ve zayıflıklar konusundaki söylemlerinde Microsoft’tan çok daha açıktır. Sistemle ilgili not almaya devam edin. Sistemin mimarisi ve amacı hakkında akıllıca konuşabildiğiniz ve bu konuda oldukça doğru, teknik olmayan bir özet yazabildiğiniz zaman, devam etmeye hazırsınız demektir.
Üçüncü Adım: Sistemi Keşfedin
Belgeleme sizi yalnızca bir yere kadar götürebilir – Azure’daki değişikliklere ayak uyduramaz ve neredeyse her zaman belgelenmemiş gizli bağlantılar vardır. Doğrudan bu adıma atlamak cazip gelebilir, ancak araştırma yoluyla oluşturduğunuz sistemin bağlamı olmadan, muhtemelen çok fazla zaman kaybedersiniz.
Sistemi en kolay arabirimle keşfetmeye başlayın; bu genellikle Azure portal GUI’dir. Geliştirici araçlarını Chrome tarayıcısında açarsanız, tarayıcının yaptığı tüm API isteklerini görebilirsiniz. Bunları PowerShell’e kopyalayın ve kendi istemcinizi oluşturmaya iyi bir başlangıç yapın. Azure’daki resmi CLI araçlarını kullanın (az ikili, Az PowerShell modülü ve Azure AD PowerShell modülü).
Sistemle etkileşim kurmak için kendi temel istemcinizi oluşturabilecek kadar araştırdığınızda, devam etme zamanı gelmiştir. Bu, daha olgun bir müşteri için ve kötüye kullanım yeteneklerini test etme sürecini otomatikleştirmek için bir temel sağlar.
Dördüncü Adım: Katalog Kötüye Kullanım Yetenekleri
Artık istemcinizi, o sistemin atayabileceği tüm izinleri sıralamak ve zaten bildiğiniz kötüye kullanım ilkelerini bu izinlerin her birine karşı test etmek için kullanabilirsiniz (örneğin, kendinizi genel yöneticiliğe yükseltebilir veya bir genel yöneticinin parolasını değiştirebilir misiniz?). Araştırmanız sırasında ortaya çıkabilecek diğer kötüye kullanım ilkellerine dikkat edin ve resmi belgelerin söyledikleri ile gerçekte işlerin nasıl yürüdüğü arasındaki tutarsızlıkları ortaya çıkarmak için bunları test edin.
Gerçekçi olarak, bu süreci otomatikleştirmeniz gerekecek. Azure Graph API’sini inceleyen bu araştırma metodolojisinden geçtiğimde, her birine karşı test etmek için yaklaşık 175 izin ve bir düzine kötüye kullanım ilkelinden oluşan bir listeye sahiptim… matematiği siz yapın.
Beşinci Adım: Bulguları Paylaşın
Son adım, başkalarının işinizden öğrenmesine yardımcı olmaktır. Bir blog yazısı yazın, bir konuşma yapın ve/veya kodunuzu paylaşın. Buradaki amaç, başkalarının zamandan tasarruf etmesine ve işinizi genişletmesine veya işinize eklemesine yardımcı olmaktır. Bunu, araştırmanızın başında ihtiyaç duyduğunuz blog gönderisini yazmak olarak düşünün.
Daha fazlasını öğrenmek için izleyin verdiğim bir konuşma Bu konuda (ve eşlik eden güverteye erişin). Azure kötüye kullanımlarını araştırmaya başlamak için ilham aldınız mı? Azure güvenliğiyle ilgili teknik içerik bulmak için bazı yararlı web siteleri şunlardır: Tembel Yönetici, İyi Çözüm!, AZReklamcı, Thomas Van Laereve Microsoft Portalları.