Search

  1. Sweden
  2. Kunskap
  3. Blogg
  4. Molnsäkerhet
  5. Del 3 – Penetrationstestning i Azure och risker med lagrade autentiseringsuppgifter

Del 3 – Penetrationstestning i Azure och risker med lagrade autentiseringsuppgifter

Blogg Molnsäkerhet
woman-looking-at-a-touchpad

Share

Del 3 – Penetrationstestning i Azure och risker med lagrade autentiseringsuppgifter

Del 3 – Penetrationstestning i Azure och risker med lagrade autentiseringsuppgifter

I det här inlägget kommer vi att titta på hur Azure sparar autentiseringsuppgifter på disk.

Vad innebär det för risker, och vad kan man göra för att minska riskerna?

Azure har ett flertal verktyg för att skapa och administrera resurser. Förutom webbportalen är CLI-verktyg och PowerShell cmd-lets mycket vanliga sätt att administrera Azure-resurser.

En Azure-administratör använder ofta CLI  i sitt dagliga arbete. När denne autentiserar sig mot Azure sparas viss information på disk för att slippa att autentisera sig på nytt för varje kommando som skall köras. En skicklig attackerare kan använda den sparade informationen för att extrahera ett token som sedan kan användas för att autentisera sig mot Azure. De tokens som sparas har en begränsad giltighetstid, men om attackeraren har access till  administratörens klient kommer nya tokens löpande att sparas efter att de gamla löpt ut och administratören har autentiserat sig på nytt.

Vi kommer här att visa ett scenario för hur detta kan gå till

I detta scenario antar vi att attackeraren har fått access till en klient som har använts för att administrera Azure-miljön.
Attackeraren identifierar och kartlägger klienten och ser att det finns temporära Azure-filer sparade på disk.

Bland filerna finns en fil som innehåller autentiserings-information i form av ett “Bearer token”. Ett “Bearer token” är den typ av token som Azures CLI använder för att få åtkomst till olika resurser inom Azure.

Här är det väldigt viktigt att som administratör säkerställa att inte viktiga filer sparas i t.ex. fildelningsapplikationer eller publikt på GitHub.

Attackeraren lyckas nu extrahera ut vitala delar från det token som hittats:

Detta token används sedan av attackeraren för att autentisera sig mot Azure utan att behöva ha någon kunskap om användarens lösenord.

Attackeraren är nu autentiserad mot den Azure prenumeration och de resurs-grupper som den token gäller för och kan nu börja kartlägga miljön för och sedan försöka röra sig lateralt. Hur kartläggning (enumerering) och lateral rörelse kan utföras kommer vi att gå igenom i en kommande blogginlägg.

Hur ser det då ut ur ett riskperspektiv?

De sparade autentiseringsuppgifter som finns på klienten kan vara ett mål för en attackerare.
Om en attackerare  lyckas ta sig in och få fotfäste i företagsnätet kan denna börja röra sig lateralt och kartlägga miljön. Om attackeraren får access till en klient som tillhör en Azure-administratör och kan extrahera den lagrade informationen kan denne, med hjälp av ovan beskrivna attackteknik, autentisera sig mot Azure-miljön. Detta möjliggör för attackeraren att röra sig vertikalt inom Azure-miljön och att potentiellt ta över den.

Det finns även risk att denna typ av filer blir ett mål för trojaner och malware, som i sådana fall kan leta efter och exfiltrera lagrade tokens om en klient blir infekterad.

Del 3 – Penetrationstestning i Azure och risker med lagrade autentiseringsuppgifter
-Vad kan användaren göra? 

Detta hot berör främst Azure-administratörens konto och klient som denna använder. Många åtgärder kan vidtas för att bemöta detta hot och våra förslag är bland annat att:

  • Aktivera MFA autentisering på alla administratörskonton
  • Endast administrera Azure-miljön från betrodda klienter
  • Klassificera Azure-administratörens konto och klient som “high value targets”
  • Använda ett fullgott AV/Endpoint-skydd av senare version på Azure-administratörens klient
  • Använda ett SIEM verktyg och övervakning av Azure-administratörens konto
  • Använda en bra lösenordspolicy i företagets AD-nät, med högre kvar på komplexitet och längd för Azure-administratörer
  • Aktivera JIT (Just-in-time) för åtkomst till resurser i Azure miljön.
  • Regelbunden pentestning av AD miljön för att upptäcka potentiella säkerhetsbrister.
  • Löpande säkring av AD miljön
  • Vara försiktig med användande av ,och konfigurationen av, applikationer som kan läsa och dela eller spara backuper av användarens filer.

Läs mer:
Del 1 – Penetrationstestning i Azure och vikten av säkerhetsgranskning och vaksamhet i molnet
Del 2 Penetrationstestning i Azure – Användarkonton och lösenordsattacker
Del 4 – Penetrationstestning i Azure – Hanterade Identiteter, eskalering av privilegier och dataläckage från lagringskonton

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.