混合云工具沦为隐蔽的远程代码执行与权限提升载体

通过WAC执行命令时分配的令牌权限 | 图片来源：IBM

混合云管理工具的安全隐患

IBM X-Force团队近日对微软Azure Arc进行深入研究，发现这款旨在统一本地与云环境的混合云管理工具，可能成为代码执行、权限提升和隐蔽驻留的潜在攻击载体。这项研究始于IBM红队在一次渗透测试中，偶然发现PowerShell脚本中硬编码的Azure服务主体（Service Principal）密钥，进而触发对Azure Arc运行机制和安全特性的全面调查。

"我们最终运用了先前研究中记录的技术...成功在域控制器上执行代码，并反向渗透至微软Azure环境，"研究人员在报告中写道，展示了单个配置失误如何导致整个域环境沦陷。

多重部署方式暴露风险

Azure Arc允许管理员将Azure原生管理能力扩展到非Azure环境，包括本地Windows/Linux服务器、Kubernetes集群和VMware部署。这些设备接入后即被视为一级Azure资源，支持策略实施、更新管理、监控以及最关键的远程命令执行功能。

但IBM研究警告称："Arc的优势在于它是微软官方产品，直接与Azure知名API端点通信，因此通常会被终端检测与响应（EDR）产品忽略。"这种隐蔽性使其成为理想的攻击跳板。

研究揭示了多种企业部署方式存在的安全隐患：

• 硬编码密钥：Azure生成的默认Arc接入脚本包含硬编码的服务主体密钥
• 可恢复凭据：通过组策略对象（GPO）部署时，服务主体密钥往往采用DPAPI-NG加密，而"域计算机组任何成员均可解密"
• 过度授权角色：部署使用的服务主体常被误授予"Azure连接计算机资源管理员"角色，获得对所有Arc托管客户端的完整代码执行权限

"这种可以理解的疏忽...使我们能够通过Arc提升权限并接管客户的本地环境，"研究人员描述道。

双重攻击路径剖析

攻击者一旦控制Azure Arc，可利用两种主要执行机制：

1. 运行命令：这些伪扩展以NT AUTHORITY\SYSTEM权限执行任意命令，且不会出现在扩展列表中。"传入的命令被写入PowerShell脚本...最终以SYSTEM权限运行"
2. 自定义脚本扩展（CSE）：不仅支持命令执行，还能通过fileUris参数下载文件，将Arc转变为隐蔽的命令控制（C2）通道。"可创建脚本复制文件...突破依赖CSE下载文件夹执行的静态检测"

受Andy Gill研究启发，IBM X-Force演示了如何将Arc作为备用C2机制："如果在主机获得高权限上下文...可部署自己的Arc客户端并通过自有Azure租户管理"。这种通过攻击者控制的Azure环境管理受害主机的能力，使Arc成为长期驻留的利器。

企业防护建议

为应对这些威胁，IBM X-Force提出以下防护措施：

• 角色管控：非必要不给服务主体分配"Azure连接计算机资源管理员"等高权限角色
• 脚本访问限制：对基于GPO或文件共享的部署，严格限制部署脚本和密钥的访问权限
• 监控部署痕迹：重点关注AzureConnectedMachineAgent文件夹、arcproxy.exe或自动生成的GPO策略
• 审计与告警：监控Azure活动日志中的角色分配变更和命令执行记录