Azure Misconfiguration Lets Attackers Take Over Cloud Infrastructure
2025/06/20 gbhackers — Microsoft Azure における一連のミスコンフィグを悪用する攻撃者は、初期アクセスからテナントの完全な乗っ取りに至るまでの、ユーザー組織のクラウド・インフラの制御を可能にすることが、最近のセキュリティ分析により明らかになった。ITM8 のレポートが示すのは、実際のツールと PowerShell スクリプトを用いて実証された攻撃経路であり、Azure のデプロイメントの強化と、不審なアクティビティ監視の必要性を問うものだ。
攻撃の展開
この攻撃は、未認証の攻撃者による、偵察活動から始まる。その攻撃者は、MicroBurst などのオープンソース・ツールを使用して、Azure のサブドメインを列挙し、公開されているストレージ・アカウントを探し出す。
以下のケースでは、adsikkerhed というストレージ・アカウントが見つかっている。そこには、Azure Active Directory (AAD) ユーザー資格情報を取り込んだ、CSV ファイルへのパブリック・アクセスを許可するコンテナが含まれている。
Invoke-WebRequest "https://adsikkerhed.blob.core.windows.net/files/test.csv" -OutFile .\output\test.csv
Get-Content .\output\test.csv
有効な資格情報を入手した攻撃者は、アクセスをブロックする可能性のある、多要素認証 (MFA) や条件付きアクセス・ポリシーを確認する。そして、ポリシーが存在しない場合には、PowerShell Az モジュールを用いて認証を行う。
$Credentials = Get-Credential
Connect-AzAccount -Credential $Credentials
権限昇格とラテラル・ムーブメント
侵入後の攻撃者は、Azure AD グループを列挙し、動的なメンバーシップ・ルールと特権ロールを持つグループを探し出す。
たとえば、”AutomationAdmins” というグループは、表示名に “automationadmin” が含まれる全ユーザーを、自動的に取り込むようにコンフィグされており、また、”Automation Contributor” ロールが割り当てられている。
New-AzureADMSGroup -DisplayName “AutomationAdmins” -Description “This dynamic group will add any AAD user with ‘automationadmin’ in Display Name” -MailEnabled $False -MailNickName “AutomationAdmins” -SecurityEnabled $True -GroupTypes “DynamicMembership” -MembershipRule ‘(user.displayName -contains “automationadmin”)’ -MembershipRuleProcessingState “On”
続いて攻撃者は、メンバーシップ・ルールに一致するゲスト・ユーザーを作成し、招待を承認し、”Automation Contributor” ロールを取得する。
それにより攻撃者は、Automation アカウントから Runbook をダンプできるようになる。多くの場合において、さらに権限を持つサービス・プリンシパルの、ハードコードされた資格情報を見つけ出せる。
Managed ID と Key Vault の悪用
“Virtual Machine Contributor” ロールが割り当てられた、サービス・プリンシパルへのアクセスにより、この攻撃者は Azure VM を操作できるようになる。続いて攻撃者は、以下のスクリプトを使用して、VM から Managed ID トークンを抽出する。
(Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -Method GET -Headers @{Metadata="true"} -UseBasicParsing).Content
これらのトークンにより、VM の Managed ID を偽装する攻撃者は、Azure Key Vault に保存されているシークレットへのアクセス許可に到達する。
続いて攻撃者が発見するのは、侵害したユーザーが、管理グループ・レベルで “Storage Account Contributor” 権限を持つこと、そして、サービス・プリンシパルを持つアプリケーションの所有者であることだ。
このサービス・プリンシパルに、新しいシークレットを追加する攻撃者は、そのサービス・ プリンシパルとして認証を通過し、特権管理者が使用する Cloud Shell プロファイル・イメージなどの、機密ストレージへのアクセス権限を取得する。
さらに攻撃者は、Cloud Shell イメージを改竄し、特権ユーザーを騙して、そのイメージをロードさせることで、Azure AD から自身に対して、”Global Administrator” 権限を付与するためのペイロードを実行する。
その後に、テナント・ルート管理グループの “User Access Administrator” に昇格した攻撃者は、Azure 環境の完全な所有権を獲得する。
この攻撃チェーンは、以下の方法により検出/防止できる。
- ストレージ・アカウントへのパブリック・アクセスを無効化し、安全な転送 (TLS 1.2) を適用する。
- Azure AD 監査ログ/サインイン・ログ/Defender for Resource Manager を有効化する。
- 特権ロールの動的グループ・メンバーシップを回避する。
- ゲスト・ユーザーの招待を制限する。
- シークレットを安全に保存し、自動化のために Managed ID を使用する。
この攻撃パスが協調するのは、クラウド環境における安全なコンフィグ/最小限の権限/綿密な監視の重要性である。
ユーザー組織にとって必要なことは、このような大規模な侵害を防ぐために、Azure のコンフィグを定期的に確認し、ベスト・プラクティスを適用し、疑わしいアクティビティに迅速に対応することだ。
この記事で解説される、Azure に対する一連の攻撃チェーンは、クラウド環境におけるミスコンフィグの強さを示しています。それが、PowerShell や MicroBurst などのツールで手軽に達成される点にも注意が必要という感じです。ご利用のチームは、ご注意ください。よろしければ、カテゴリ MisConfiguration も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.