Az - Key Vault

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Azure Key Vault é um serviço de nuvem fornecido pela Microsoft Azure para armazenar e gerenciar informações sensíveis, como segredos, chaves, certificados e senhas de forma segura. Ele atua como um repositório centralizado, oferecendo acesso seguro e controle detalhado usando o Azure Active Directory (Azure AD). Do ponto de vista de segurança, o Key Vault fornece proteção de módulo de segurança de hardware (HSM) para chaves criptográficas, garante que os segredos sejam criptografados tanto em repouso quanto em trânsito, e oferece gerenciamento de acesso robusto por meio de controle de acesso baseado em função (RBAC) e políticas. Também possui registro de auditoria, integração com o Azure Monitor para rastreamento de acesso e rotação automática de chaves para reduzir o risco de exposição prolongada de chaves.

Veja Azure Key Vault REST API overview para detalhes completos.

De acordo com a docs, os Vaults suportam o armazenamento de chaves, segredos e certificados de software e com suporte a HSM. Os pools de HSM gerenciados suportam apenas chaves com suporte a HSM.

O formato de URL para vaults é https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} e para pools de HSM gerenciados é: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Onde:

vault-name é o nome único global do cofre de chaves
object-type pode ser "keys", "secrets" ou "certificates"
object-name é o nome único do objeto dentro do cofre de chaves
object-version é gerado pelo sistema e opcionalmente usado para endereçar uma versão única de um objeto.

Para acessar os segredos armazenados no cofre, é possível selecionar entre 2 modelos de permissões ao criar o cofre:

Política de acesso ao cofre
Azure RBAC (mais comum e recomendado)
Você pode encontrar todas as permissões granulares suportadas em https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault

Access Control

O acesso a um recurso do Key Vault é controlado por dois planos:

O plano de gerenciamento, cujo alvo é management.azure.com.
É usado para gerenciar o cofre de chaves e políticas de acesso. Apenas o controle de acesso baseado em função do Azure (RBAC) é suportado.
O plano de dados, cujo alvo é <vault-name>.vault.azure.com.
É usado para gerenciar e acessar os dados (chaves, segredos e certificados) no cofre de chaves. Isso suporta políticas de acesso ao cofre ou Azure RBAC.

Um papel como Contributor que tem permissões no plano de gerenciamento para gerenciar políticas de acesso pode obter acesso aos segredos modificando as políticas de acesso.

Key Vault RBAC Built-In Roles

Network Access

No Azure Key Vault, regras de firewall podem ser configuradas para permitir operações do plano de dados apenas de redes virtuais ou intervalos de endereços IPv4 especificados. Essa restrição também afeta o acesso através do portal de administração do Azure; os usuários não poderão listar chaves, segredos ou certificados em um cofre de chaves se o endereço IP de login não estiver dentro do intervalo autorizado.

Para analisar e gerenciar essas configurações, você pode usar o Azure CLI:

az keyvault show --name name-vault --query networkAcls

O comando anterior exibirá as configurações do firewall de name-vault, incluindo intervalos de IP habilitados e políticas para tráfego negado.

Além disso, é possível criar um endpoint privado para permitir uma conexão privada a um cofre.

Proteção contra Exclusão

Quando um cofre de chaves é criado, o número mínimo de dias para permitir a exclusão é 7. O que significa que sempre que você tentar excluir esse cofre de chaves, ele precisará de pelo menos 7 dias para ser excluído.

No entanto, é possível criar um cofre com proteção contra purga desativada, o que permite que o cofre de chaves e os objetos sejam purgados durante o período de retenção. Embora, uma vez que essa proteção esteja habilitada para um cofre, não pode ser desativada.

Enumeração

# List all Key Vaults in the subscription
az keyvault list
# List Key Vaults in a specific Resource Group
az keyvault list --resource-group <ResourceGroupName>
# Show details of a specific Key Vault
az keyvault show --name <KeyVaultName> # If accessPolicies, you can see them here
# List all keys in a Key Vault
az keyvault key list --vault-name <KeyVaultName>
# List all secrets in a Key Vault
az keyvault secret list --vault-name <KeyVaultName>
# Get versions of a secret
az keyvault secret list-versions --vault-name <KeyVaultName> --name <SecretName>
# List all certificates in a Key Vault
az keyvault certificate list --vault-name <KeyVaultName>
# List all deleted Key Vaults in the subscription
az keyvault list-deleted
# Get properties of a deleted Key Vault
az keyvault show-deleted --name <KeyVaultName>
# Get assigned roles
az role assignment list --include-inherited --scope "/subscriptions/<subscription-uuid>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Get secret value
az keyvault secret show --vault-name <KeyVaultName> --name <SecretName>
# Get old versions secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# Get details of a specific Key Vault
Get-AzKeyVault -VaultName <KeyVaultName>
# List all keys in a Key Vault
Get-AzKeyVaultKey -VaultName <KeyVaultName>
# List all secrets in a Key Vault
Get-AzKeyVaultSecret -VaultName <KeyVaultName>
# List all certificates in a Key Vault
Get-AzKeyVaultCertificate -VaultName <KeyVaultName>
# List all deleted Key Vaults in the subscription
Get-AzKeyVault -InRemovedState
# Get properties of a deleted Key Vault
Get-AzKeyVault -VaultName <KeyVaultName> -InRemovedState
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> -AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done

Escalação de Privilégios

Az - Key Vault Privesc

Pós Exploração

Az - Key Vault Post Exploitation

Suporte ao HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

PreviousAz - Function Apps NextAz - Logic Apps

Last updated 8 days ago