云渗透实战：如何通过Office 365漏洞入侵企业内网

概述

传统远程攻击者对目标网络的攻击方法相对固定。但随着组织迁移至“云”，攻击者的策略已发生巨变。本文将详细说明：若企业将资产移至云，攻击者极可能将其作为主要目标并成功入侵，而企业可能毫无察觉。

云计算基础

可扩展存储、便捷员工协作、节省数据中心成本是云计算的显著优势。但从安全角度看，云计算存在诸多短板。一个常见误解是：“云”是保护数据、节省硬盘空间的神奇实体。

云计算的定义：

云计算：n. 使用互联网上远程服务器网络存储、管理和处理数据的实践，而非本地服务器或个人计算机。

这意味着你的数据只是从自家系统转移至他人系统，并租用其空间。将数据交给云提供商时需考虑：

• 云提供商是否履行网络安全尽职调查？许多人因Google、Microsoft、Amazon的流行而认为其必然安全，但一旦发生泄露后果严重。
• 数据物理安全吗？数据实际存放在云提供商数据中心的硬盘上，其物理访问保护措施如何？
• 云提供商在处理数据时是否道德？能否随意访问你的数据？政府索取数据时如何处理？

云计算虽便利，但为便利牺牲安全是致命错误。

外部网络渗透测试预测

多数组织认为攻击者只有两种方式访问内部资源：利用外部系统远程漏洞或钓鱼员工。但攻击者还有其他方式（如物理访问），而云迁移为远程攻击者新增了攻击向量。

在另两篇博客中，我详述了外部攻击者无需接入目标网络即可获取域凭据的方法：第1部分讨论员工在个人与企业账户间密码重用，第2部分讨论密码喷洒Outlook Web Access门户。这些技术可获取域凭据，但攻击者仍需访问目标网络（如VPN或钓鱼）。随着企业资产迁至云，攻击者可能仅需有效凭据和浏览器即可访问敏感数据。

案例研究：入侵云实战

近期，我与同事Derek Banks（0xderuke）执行“黑盒外部网络评估”。无目标范围信息，我们通过侦察发现少量外部主机，攻击面很小。

在侦察阶段，我们尝试发现有效邮箱和用户名。该公司的有效邮箱数量较少，且无用户名，但我们仍通过密码喷洒攻击（使用季节-年份组合如Spring2016）获取了有效用户凭据。

攻击云基础设施的“魔法”就此开始：我们以少量有效邮箱密码喷洒成功。该组织未启用双因素认证，因此我们访问了该用户的Office 365账户（含Outlook邮件、Sharepoint、OneDrive等）。在掠夺服务前，我们尝试发现更多邮箱。Outlook的“通讯录”提供了所需一切：每位员工的邮箱、用户名、电话号码和全名。至此，我们获得了全员邮箱列表。

我们继续密码喷洒（此次有完整邮箱列表），获取了更多凭据，并以不同角色用户访问云基础设施。每个用户可访问的文件和资源不同，但就像内部网络文件共享，权限需正确配置以保护资源。

Sharepoint等协作平台常是数据宝库。我们发现了大量敏感信息，更重要的是找到了访问组织实际内部基础设施的途径。

Sharepoint的搜索功能对员工和攻击者均有用。侦察阶段未发现VPN等远程访问系统，但通过搜索“VPN”，我们找到了详细文档：指定VPN客户端、连接地址及认证所需的“PIN”（结合有效用户凭据）。

该VPN也未启用双因素认证。我们以密码喷洒获得的用户凭据VPN接入网络，并通过常规方式提升至域管理员权限。

结论

本案例通过黑盒外部评估入侵组织内部网络，实则通过攻击云基础设施实现。本次评估针对Microsoft Office 365，但同样适用于Google、Amazon AWS等云服务。

若组织使用云服务托管数据、邮件等，请启用双因素认证。案例中若启用双因素，攻击将早早受阻。

渗透测试第三方服务前务必获取授权。以下是部分授权表：

• Microsoft Azure – https://security-forms.azure.com/penetration-testing/terms
• Amazon AWS – https://aws.amazon.com/security/penetration-testing/
• Google Cloud Platform – https://cloud.google.com/security/（有趣的是，Google称无需联系他们）