Az - Key Vault

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Basic Information

Azure Key Vault είναι μια υπηρεσία cloud που παρέχεται από το Microsoft Azure για την ασφαλή αποθήκευση και διαχείριση ευαίσθητων πληροφοριών όπως μυστικά, κλειδιά, πιστοποιητικά και κωδικούς πρόσβασης. Λειτουργεί ως κεντρικό αποθετήριο, προσφέροντας ασφαλή πρόσβαση και λεπτομερή έλεγχο χρησιμοποιώντας το Azure Active Directory (Azure AD). Από την άποψη της ασφάλειας, το Key Vault παρέχει προστασία μέσω υλικού ασφαλείας (HSM) για κρυπτογραφικά κλειδιά, διασφαλίζει ότι τα μυστικά είναι κρυπτογραφημένα τόσο σε κατάσταση ηρεμίας όσο και σε μεταφορά, και προσφέρει ισχυρή διαχείριση πρόσβασης μέσω ελέγχου πρόσβασης βάσει ρόλων (RBAC) και πολιτικών. Διαθέτει επίσης καταγραφή ελέγχου, ενσωμάτωση με το Azure Monitor για παρακολούθηση πρόσβασης και αυτοματοποιημένη περιστροφή κλειδιών για μείωση του κινδύνου από παρατεταμένη έκθεση κλειδιών.

Δείτε την επισκόπηση του Azure Key Vault REST API για πλήρεις λεπτομέρειες.

Σύμφωνα με τα έγγραφα, τα Vaults υποστηρίζουν την αποθήκευση λογισμικού και κλειδιών που υποστηρίζονται από HSM, μυστικών και πιστοποιητικών. Οι διαχειριζόμενες πισίνες HSM υποστηρίζουν μόνο κλειδιά που υποστηρίζονται από HSM.

Η μορφή URL για τα vaults είναι https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} και για τις διαχειριζόμενες πισίνες HSM είναι: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Όπου:

• vault-name είναι το παγκοσμίως μοναδικό όνομα του key vault
• object-type μπορεί να είναι “keys”, “secrets” ή “certificates”
• object-name είναι το μοναδικό όνομα του αντικειμένου εντός του key vault
• object-version είναι αυτόματα παραγόμενο και χρησιμοποιείται προαιρετικά για να αναφέρεται σε μια μοναδική έκδοση ενός αντικειμένου.

Για να αποκτήσετε πρόσβαση στα μυστικά που αποθηκεύονται στο vault, είναι δυνατή η επιλογή μεταξύ 2 μοντέλων δικαιωμάτων κατά τη δημιουργία του vault:

• Πολιτική πρόσβασης Vault
• Azure RBAC (το πιο κοινό και συνιστώμενο)
• Μπορείτε να βρείτε όλα τα λεπτομερή δικαιώματα που υποστηρίζονται στο https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault

Access Control

Η πρόσβαση σε έναν πόρο Key Vault ελέγχεται από δύο επίπεδα:

• Το επίπεδο διαχείρισης, του οποίου ο στόχος είναι το management.azure.com.
• Χρησιμοποιείται για τη διαχείριση του key vault και των πολιτικών πρόσβασης. Υποστηρίζεται μόνο ο έλεγχος πρόσβασης βάσει ρόλων του Azure (RBAC).
• Το επίπεδο δεδομένων, του οποίου ο στόχος είναι <vault-name>.vault.azure.com.
• Χρησιμοποιείται για τη διαχείριση και πρόσβαση στα δεδομένα (κλειδιά, μυστικά και πιστοποιητικά) στο key vault. Αυτό υποστηρίζει πολιτικές πρόσβασης key vault ή Azure RBAC.

Ένας ρόλος όπως ο Contributor που έχει δικαιώματα στο επίπεδο διαχείρισης για τη διαχείριση πολιτικών πρόσβασης μπορεί να αποκτήσει πρόσβαση στα μυστικά τροποποιώντας τις πολιτικές πρόσβασης.

Key Vault RBAC Built-In Roles

Network Access

Στο Azure Key Vault, οι κανόνες firewall μπορούν να ρυθμιστούν για να επιτρέπουν τις λειτουργίες του επιπέδου δεδομένων μόνο από καθορισμένα εικονικά δίκτυα ή περιοχές διευθύνσεων IPv4. Αυτή η περιοριστική πολιτική επηρεάζει επίσης την πρόσβαση μέσω της πύλης διαχείρισης Azure. Οι χρήστες δεν θα μπορούν να καταγράψουν κλειδιά, μυστικά ή πιστοποιητικά σε ένα key vault εάν η διεύθυνση IP σύνδεσής τους δεν είναι εντός της εξουσιοδοτημένης περιοχής.

Για την ανάλυση και διαχείριση αυτών των ρυθμίσεων, μπορείτε να χρησιμοποιήσετε το Azure CLI:

az keyvault show --name name-vault --query networkAcls

Η προηγούμενη εντολή θα εμφανίσει τις ρυθμίσεις του firewall του name-vault, συμπεριλαμβανομένων των ενεργοποιημένων IP ranges και πολιτικών για απορριπτόμενη κίνηση.

Επιπλέον, είναι δυνατή η δημιουργία ενός ιδιωτικού endpoint για να επιτραπεί μια ιδιωτική σύνδεση σε ένα vault.

Προστασία Διαγραφής

Όταν δημιουργείται ένα key vault, ο ελάχιστος αριθμός ημερών που επιτρέπεται για διαγραφή είναι 7. Αυτό σημαίνει ότι όποτε προσπαθείτε να διαγράψετε αυτό το key vault, θα χρειαστεί τουλάχιστον 7 ημέρες για να διαγραφεί.

Ωστόσο, είναι δυνατή η δημιουργία ενός vault με απενεργοποιημένη προστασία εκκαθάρισης, η οποία επιτρέπει την εκκαθάριση του key vault και των αντικειμένων κατά τη διάρκεια της περιόδου διατήρησης. Αν και, μόλις αυτή η προστασία ενεργοποιηθεί για ένα vault, δεν μπορεί να απενεργοποιηθεί.

Αρίθμηση

# List all Key Vaults in the subscription
az keyvault list
# List Key Vaults in a specific Resource Group
az keyvault list --resource-group <ResourceGroupName>
az keyvault list --query '[].{name:name}' -o tsv # Get just the names
# Show details of a specific Key Vault
az keyvault show --name <KeyVaultName> # If accessPolicies, you can see them here
# List all keys in a Key Vault
az keyvault key list --vault-name <KeyVaultName>
# List all secrets in a Key Vault
az keyvault secret list --vault-name <KeyVaultName>
# Get versions of a secret
az keyvault secret list-versions --vault-name <KeyVaultName> --name <SecretName>
# List all certificates in a Key Vault
az keyvault certificate list --vault-name <KeyVaultName>
# List all deleted Key Vaults in the subscription
az keyvault list-deleted
# Get properties of a deleted Key Vault
az keyvault show-deleted --name <KeyVaultName>
# Get assigned roles
az role assignment list --include-inherited --scope "/subscriptions/<subscription-uuid>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Get secret value
az keyvault secret show --vault-name <KeyVaultName> --name <SecretName>
# Get old versions secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>

# List deleted key vaults
az keyvault secret list-deleted --vault-name <vault-name>

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# Get details of a specific Key Vault
Get-AzKeyVault -VaultName <KeyVaultName>
# List all keys in a Key Vault
Get-AzKeyVaultKey -VaultName <KeyVaultName>
# List all secrets in a Key Vault
Get-AzKeyVaultSecret -VaultName <KeyVaultName>
# List all certificates in a Key Vault
Get-AzKeyVaultCertificate -VaultName <KeyVaultName>
# List all deleted Key Vaults in the subscription
Get-AzKeyVault -InRemovedState
# Get properties of a deleted Key Vault
Get-AzKeyVault -VaultName <KeyVaultName> -InRemovedState
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> -AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done

Κλιμάκωση Δικαιωμάτων

Az - Key Vault Privesc

Μετά την Εκμετάλλευση

Az - Key Vault Post Exploitation

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.