Microsoft ahora entrega las llaves del sistema a los hackers — gracias a Azure Arc
Azure Arc se ha convertido inesperadamente en un canal de control para hackers — y todo dentro de las reglas.
La función de administración remota Azure Arc, diseñada para centralizar la gestión de infraestructuras híbridas, ha resultado ser útil no solo para administradores y equipos DevOps. Una investigación publicada por el especialista en seguridad Andy Gill demostró cómo puede utilizarse para desplegar un canal de mando y control (C2) completo, eludiendo los medios tradicionales de detección.
El servicio Azure Arc fue presentado en noviembre de 2019, pero permaneció fuera del radar de la mayoría de los expertos en seguridad hasta hace poco. Su propósito principal es la gestión de infraestructuras fuera de Azure, incluyendo servidores físicos, máquinas virtuales y clústeres de Kubernetes, tanto en otras nubes como en centros de datos locales. Los sistemas conectados visual y lógicamente aparecen en la interfaz de Azure y se administran como si fueran recursos nativos. Sin embargo, esta característica es precisamente lo que lo hace atractivo para los atacantes.
Un atacante que obtenga derechos de administrador local en una máquina objetivo y acceso con rol de “Contributor” en el recurso correspondiente de Azure puede usar Arc para registrar el dispositivo e instalar el agente. Este procedimiento es estándar y no genera sospechas: basta con generar un script a través del portal de Azure, ejecutarlo en el host objetivo y autorizarse mediante el navegador. Como resultado, el dispositivo aparece en el panel de administración de Azure, donde se le pueden aplicar varias “extensiones”, incluyendo el agente SSH integrado.
La conexión a la máquina se realiza directamente a través de Azure Cloud Shell o CLI, y los comandos se ejecutan bajo el nombre del usuario autenticado. No se necesita ningún software malicioso adicional: todas las acciones se llevan a cabo mediante el agente legítimo de Microsoft, autorizado y que se comunica con la nube a través de canales cifrados.
El informe presta especial atención a Custom Script Extension — uno de los mecanismos integrados de Azure Arc que permite cargar y ejecutar scripts arbitrarios de PowerShell o Bash en el dispositivo conectado. Esto convierte a Arc en un canal completo de ejecución remota de código, y si se considera que el agente opera con privilegios SYSTEM, el atacante puede escalar fácilmente sus privilegios. Los ejemplos de ejecución de scripts mostrados en la investigación incluyen creación de archivos, obtención de información del sistema y ejecución de comandos de red.
La funcionalidad de las extensiones de Arc también admite escenarios de carga de scripts desde recursos externos, incluyendo GitHub y Azure Storage, lo que permite gestionar comandos dinámicamente sin necesidad de presencia constante en la máquina objetivo.
Desde el punto de vista de la defensa, la investigación proporciona varias recomendaciones. En particular, para detectar el uso de Azure Arc se sugiere el monitoreo de actividad de los procesos azcmagent.exe, himds.exe y CustomScriptHandler.exe, el seguimiento de conexiones a los dominios *.arc.azure.com y *.guestconfiguration.azure.com, así como el análisis de cambios en directorios del sistema y el registro de Windows. Además, el autor propone un conjunto de reglas para Splunk y Elastic orientadas a la detección del uso anómalo de agentes Arc y procesos hijos sospechosos.
Se destaca especialmente que Custom Script Extension, tras su configuración inicial, se utiliza muy raramente, y su reactivación puede ser señal de una posible intrusión. También se menciona que, aunque Azure registra el hecho de creación o actualización de la extensión, el contenido del script ejecutado no se conserva en los logs — será necesario extraerlo manualmente desde el host comprometido.
Andy Gill también llamó la atención sobre la posibilidad de interactuar con los recursos de Arc mediante la API REST. Este enfoque permite ejecutar comandos sin depender de almacenamiento externo ni dejar indicadores visibles en el cliente, lo que incrementa notablemente la discreción de las operaciones.
Azure Arc, al igual que muchos otros servicios corporativos, en la práctica resulta ser una herramienta de doble filo: con una configuración incorrecta o si el atacante obtiene acceso mínimo, puede ser utilizado para el control oculto de máquinas en una infraestructura híbrida. Esto plantea una cuestión importante: ¿disponen las organizaciones de suficientes mecanismos de monitoreo para rastrear este tipo de canales de interacción “legítimos”?