Armazenamento Local de Tokens e Considerações de Segurança

Azure CLI (Interface de Linha de Comando)

Tokens e dados sensíveis são armazenados localmente pelo Azure CLI, levantando preocupações de segurança:

1. Tokens de Acesso: Armazenados em texto simples dentro de accessTokens.json localizado em C:\Users\<username>\.Azure.

2. Informações de Assinatura: azureProfile.json, no mesmo diretório, mantém detalhes da assinatura.

3. Arquivos de Log: A pasta ErrorRecords dentro de .azure pode conter logs com credenciais expostas, como:

• Comandos executados com credenciais incorporadas.

• URLs acessados usando tokens, potencialmente revelando informações sensíveis.

Azure PowerShell

O Azure PowerShell também armazena tokens e dados sensíveis, que podem ser acessados localmente:

1. Tokens de Acesso: TokenCache.dat, localizado em C:\Users\<username>\.Azure, armazena tokens de acesso em texto simples.

2. Segredos do Principal de Serviço: Estes são armazenados sem criptografia em AzureRmContext.json.

3. Recurso de Salvamento de Token: Os usuários têm a capacidade de persistir tokens usando o comando Save-AzContext, que deve ser usado com cautela para evitar acesso não autorizado.

Ferramentas Automáticas para Encontrá-los

• Winpeas

• Get-AzurePasswords.ps1

Recomendações de Segurança

Considerando o armazenamento de dados sensíveis em texto simples, é crucial proteger esses arquivos e diretórios por:

• Limitar os direitos de acesso a esses arquivos.

• Monitorar regularmente e auditar esses diretórios em busca de acesso não autorizado ou alterações inesperadas.

• Utilizar criptografia para arquivos sensíveis sempre que possível.

• Educar os usuários sobre os riscos e as melhores práticas para lidar com informações sensíveis desse tipo.