Del 3 – Penetrationstestning i Azure och risker med lagrade autentiseringsuppgifter
I det här inlägget kommer vi att titta på hur Azure sparar autentiseringsuppgifter på disk.
Azure har ett flertal verktyg för att skapa och administrera resurser. Förutom webbportalen är CLI-verktyg och PowerShell cmd-lets mycket vanliga sätt att administrera Azure-resurser.
En Azure-administratör använder ofta CLI i sitt dagliga arbete. När denne autentiserar sig mot Azure sparas viss information på disk för att slippa att autentisera sig på nytt för varje kommando som skall köras. En skicklig attackerare kan använda den sparade informationen för att extrahera ett token som sedan kan användas för att autentisera sig mot Azure. De tokens som sparas har en begränsad giltighetstid, men om attackeraren har access till administratörens klient kommer nya tokens löpande att sparas efter att de gamla löpt ut och administratören har autentiserat sig på nytt.
I detta scenario antar vi att attackeraren har fått access till en klient som har använts för att administrera Azure-miljön.
Attackeraren identifierar och kartlägger klienten och ser att det finns temporära Azure-filer sparade på disk.
Bland filerna finns en fil som innehåller autentiserings-information i form av ett “Bearer token”. Ett “Bearer token” är den typ av token som Azures CLI använder för att få åtkomst till olika resurser inom Azure.
Här är det väldigt viktigt att som administratör säkerställa att inte viktiga filer sparas i t.ex. fildelningsapplikationer eller publikt på GitHub.
Attackeraren lyckas nu extrahera ut vitala delar från det token som hittats:
Detta token används sedan av attackeraren för att autentisera sig mot Azure utan att behöva ha någon kunskap om användarens lösenord.
Attackeraren är nu autentiserad mot den Azure prenumeration och de resurs-grupper som den token gäller för och kan nu börja kartlägga miljön för och sedan försöka röra sig lateralt. Hur kartläggning (enumerering) och lateral rörelse kan utföras kommer vi att gå igenom i en kommande blogginlägg.
De sparade autentiseringsuppgifter som finns på klienten kan vara ett mål för en attackerare.
Om en attackerare lyckas ta sig in och få fotfäste i företagsnätet kan denna börja röra sig lateralt och kartlägga miljön. Om attackeraren får access till en klient som tillhör en Azure-administratör och kan extrahera den lagrade informationen kan denne, med hjälp av ovan beskrivna attackteknik, autentisera sig mot Azure-miljön. Detta möjliggör för attackeraren att röra sig vertikalt inom Azure-miljön och att potentiellt ta över den.
Det finns även risk att denna typ av filer blir ett mål för trojaner och malware, som i sådana fall kan leta efter och exfiltrera lagrade tokens om en klient blir infekterad.
Del 3 – Penetrationstestning i Azure och risker med lagrade autentiseringsuppgifter
-Vad kan användaren göra?
Detta hot berör främst Azure-administratörens konto och klient som denna använder. Många åtgärder kan vidtas för att bemöta detta hot och våra förslag är bland annat att:
Läs mer:
Del 1 – Penetrationstestning i Azure och vikten av säkerhetsgranskning och vaksamhet i molnet
Del 2 Penetrationstestning i Azure – Användarkonton och lösenordsattacker
Del 4 – Penetrationstestning i Azure – Hanterade Identiteter, eskalering av privilegier och dataläckage från lagringskonton