Az - Local Cloud Credentials

Lokale Token-Speicherung und Sicherheitsüberlegungen

Azure CLI (Befehlszeilenschnittstelle)

Tokens und sensible Daten werden lokal von Azure CLI gespeichert, was Sicherheitsbedenken aufwirft:

1. Zugriffstoken: Im Klartext in accessTokens.json gespeichert, das sich unter C:\Users\<username>\.Azure befindet.

2. Abonnementinformationen: azureProfile.json, im selben Verzeichnis, enthält Abonnementdetails.

3. Protokolldateien: Der Ordner ErrorRecords innerhalb von .azure könnte Protokolle mit exponierten Anmeldeinformationen enthalten, wie z.B.:

• Ausgeführte Befehle mit eingebetteten Anmeldeinformationen.

• Über Tokens aufgerufene URLs, die möglicherweise sensible Informationen offenbaren.

Azure PowerShell

Azure PowerShell speichert ebenfalls Tokens und sensible Daten, die lokal abgerufen werden können:

1. Zugriffstoken: TokenCache.dat, das sich unter C:\Users\<username>\.Azure befindet, speichert Zugriffstoken im Klartext.

2. Secrets des Dienstprinzipals: Diese werden unverschlüsselt in AzureRmContext.json gespeichert.

3. Token-Speicherfunktion: Benutzer haben die Möglichkeit, Tokens mit dem Befehl Save-AzContext zu speichern, was vorsichtig verwendet werden sollte, um unbefugten Zugriff zu verhindern.

Automatische Tools, um sie zu finden

• Winpeas

• Get-AzurePasswords.ps1

Sicherheitsempfehlungen

Angesichts der Speicherung sensibler Daten im Klartext ist es entscheidend, diese Dateien und Verzeichnisse zu sichern, indem Sie:

• Die Zugriffsrechte auf diese Dateien einschränken.

• Diese Verzeichnisse regelmäßig auf unbefugten Zugriff oder unerwartete Änderungen überwachen und prüfen.

• Wo möglich, Verschlüsselung für sensible Dateien anwenden.

• Benutzer über die Risiken und bewährten Verfahren im Umgang mit solchen sensiblen Informationen aufklären.