Az - Local Cloud Credentials

Local Token Storage and Security Considerations

Azure CLI (Command-Line Interface)

Tokeny i wrażliwe dane są przechowywane lokalnie przez Azure CLI, co budzi obawy dotyczące bezpieczeństwa:

1. Access Tokens: Przechowywane w formacie tekstowym w accessTokens.json znajdującym się w C:\Users\<username>\.Azure.

2. Subscription Information: azureProfile.json, w tym samym katalogu, zawiera szczegóły subskrypcji.

3. Log Files: Folder ErrorRecords w .azure może zawierać logi z ujawnionymi poświadczeniami, takie jak:

• Wykonane polecenia z osadzonymi poświadczeniami.

• Adresy URL uzyskane za pomocą tokenów, potencjalnie ujawniające wrażliwe informacje.

Azure PowerShell

Azure PowerShell również przechowuje tokeny i wrażliwe dane, które można uzyskać lokalnie:

1. Access Tokens: TokenCache.dat, znajdujący się w C:\Users\<username>\.Azure, przechowuje tokeny dostępu w formacie tekstowym.

2. Service Principal Secrets: Są przechowywane w formacie niezaszyfrowanym w AzureRmContext.json.

3. Token Saving Feature: Użytkownicy mają możliwość trwałego zapisywania tokenów za pomocą polecenia Save-AzContext, które powinno być używane ostrożnie, aby zapobiec nieautoryzowanemu dostępowi.

Automatic Tools to find them

• Winpeas

• Get-AzurePasswords.ps1

Security Recommendations

Biorąc pod uwagę przechowywanie wrażliwych danych w formacie tekstowym, kluczowe jest zabezpieczenie tych plików i katalogów poprzez:

• Ograniczenie praw dostępu do tych plików.

• Regularne monitorowanie i audytowanie tych katalogów w celu wykrycia nieautoryzowanego dostępu lub nieoczekiwanych zmian.

• Wykorzystanie szyfrowania dla wrażliwych plików, gdzie to możliwe.

• Edukowanie użytkowników o ryzyku i najlepszych praktykach dotyczących obsługi takich wrażliwych informacji.