Az - Key Vault

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Informations de base

Azure Key Vault est un service cloud fourni par Microsoft Azure pour stocker et gĂ©rer en toute sĂ©curitĂ© des informations sensibles telles que secrets, clĂ©s, certificats et mots de passe. Il agit comme un rĂ©fĂ©rentiel centralisĂ©, offrant un accĂšs sĂ©curisĂ© et un contrĂŽle granulaire Ă  l’aide d’Azure Active Directory (Azure AD). D’un point de vue sĂ©curitĂ©, Key Vault fournit une protection par module de sĂ©curitĂ© matĂ©riel (HSM) pour les clĂ©s cryptographiques, garantit que les secrets sont chiffrĂ©s Ă  la fois au repos et en transit, et offre une gestion d’accĂšs robuste grĂące Ă  l’accĂšs basĂ© sur les rĂŽles (RBAC) et des politiques. Il dispose Ă©galement de journaux d’audit, d’une intĂ©gration avec Azure Monitor pour le suivi des accĂšs, et d’une rotation automatique des clĂ©s pour rĂ©duire le risque d’exposition prolongĂ©e des clĂ©s.

Voir Azure Key Vault REST API overview pour des détails complets.

Selon les docs, les coffres prennent en charge le stockage de clés logicielles et de clés soutenues par HSM, de secrets et de certificats. Les pools HSM gérés ne prennent en charge que les clés soutenues par HSM.

Le format d’URL pour les coffres est https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} et pour les pools HSM gĂ©rĂ©s, c’est : https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

OĂč :

  • vault-name est le nom unique du coffre de clĂ©s
  • object-type peut ĂȘtre “keys”, “secrets” ou “certificates”
  • object-name est le nom unique de l’objet dans le coffre de clĂ©s
  • object-version est gĂ©nĂ©rĂ© par le systĂšme et utilisĂ© en option pour adresser une version unique d’un objet.

Pour accéder aux secrets stockés dans le coffre, il est possible de choisir entre 2 modÚles de permissions lors de la création du coffre :

Contrîle d’accùs

L’accĂšs Ă  une ressource Key Vault est contrĂŽlĂ© par deux plans :

  • Le plan de gestion, dont la cible est management.azure.com.
  • Il est utilisĂ© pour gĂ©rer le coffre de clĂ©s et les politiques d’accĂšs. Seul l’accĂšs basĂ© sur les rĂŽles Azure (RBAC) est pris en charge.
  • Le plan de donnĂ©es, dont la cible est <vault-name>.vault.azure.com.
  • Il est utilisĂ© pour gĂ©rer et accĂ©der aux donnĂ©es (clĂ©s, secrets et certificats) dans le coffre de clĂ©s. Cela prend en charge les politiques d’accĂšs au coffre de clĂ©s ou Azure RBAC.

Un rĂŽle comme Contributor qui a des permissions dans le plan de gestion pour gĂ©rer les politiques d’accĂšs peut accĂ©der aux secrets en modifiant les politiques d’accĂšs.

RÎles intégrés RBAC de Key Vault

AccÚs réseau

Dans Azure Key Vault, des rĂšgles de pare-feu peuvent ĂȘtre configurĂ©es pour autoriser les opĂ©rations du plan de donnĂ©es uniquement Ă  partir de rĂ©seaux virtuels spĂ©cifiĂ©s ou de plages d’adresses IPv4. Cette restriction affecte Ă©galement l’accĂšs via le portail d’administration Azure ; les utilisateurs ne pourront pas lister les clĂ©s, secrets ou certificats dans un coffre de clĂ©s si leur adresse IP de connexion ne se trouve pas dans la plage autorisĂ©e.

Pour analyser et gĂ©rer ces paramĂštres, vous pouvez utiliser l’Azure CLI :

az keyvault show --name name-vault --query networkAcls

La commande précédente affichera les paramÚtres de pare-feu de name-vault, y compris les plages IP activées et les politiques pour le trafic refusé.

De plus, il est possible de créer un point de terminaison privé pour permettre une connexion privée à un coffre.

Protection contre la suppression

Lorsqu’un coffre de clĂ©s est crĂ©Ă©, le nombre minimum de jours autorisĂ©s pour la suppression est de 7. Ce qui signifie que chaque fois que vous essayez de supprimer ce coffre de clĂ©s, il faudra au moins 7 jours pour ĂȘtre supprimĂ©.

Cependant, il est possible de crĂ©er un coffre avec la protection contre la purge dĂ©sactivĂ©e, ce qui permet de purger le coffre de clĂ©s et les objets pendant la pĂ©riode de conservation. Cependant, une fois cette protection activĂ©e pour un coffre, elle ne peut pas ĂȘtre dĂ©sactivĂ©e.

ÉnumĂ©ration

# List all Key Vaults in the subscription
az keyvault list
# List Key Vaults in a specific Resource Group
az keyvault list --resource-group <ResourceGroupName>
az keyvault list --query '[].{name:name}' -o tsv # Get just the names
# Show details of a specific Key Vault
az keyvault show --name <KeyVaultName> # If accessPolicies, you can see them here
# List all keys in a Key Vault
az keyvault key list --vault-name <KeyVaultName>
# List all secrets in a Key Vault
az keyvault secret list --vault-name <KeyVaultName>
# Get versions of a secret
az keyvault secret list-versions --vault-name <KeyVaultName> --name <SecretName>
# List all certificates in a Key Vault
az keyvault certificate list --vault-name <KeyVaultName>
# List all deleted Key Vaults in the subscription
az keyvault list-deleted
# Get properties of a deleted Key Vault
az keyvault show-deleted --name <KeyVaultName>
# Get assigned roles
az role assignment list --include-inherited --scope "/subscriptions/<subscription-uuid>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Get secret value
az keyvault secret show --vault-name <KeyVaultName> --name <SecretName>
# Get old versions secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>

# List deleted key vaults
az keyvault secret list-deleted --vault-name <vault-name>

Escalade de privilĂšges

Az - Key Vault Privesc

Post-exploitation

Az - Key Vault Post Exploitation

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks