Az - Key Vault

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.

Podstawowe informacje

Azure Key Vault to usługa chmurowa oferowana przez Microsoft Azure do bezpiecznego przechowywania i zarządzania wrażliwymi informacjami, takimi jak sekrety, klucze, certyfikaty i hasła. Działa jako scentralizowane repozytorium, oferując bezpieczny dostęp i precyzyjną kontrolę za pomocą Azure Active Directory (Azure AD). Z perspektywy bezpieczeństwa, Key Vault zapewnia ochronę modułu bezpieczeństwa sprzętowego (HSM) dla kluczy kryptograficznych, zapewnia, że sekrety są szyfrowane zarówno w spoczynku, jak i w tranzycie, oraz oferuje solidne zarządzanie dostępem poprzez kontrolę dostępu opartą na rolach (RBAC) i polityki. Oferuje również logi audytowe, integrację z Azure Monitor do śledzenia dostępu oraz automatyczną rotację kluczy w celu zmniejszenia ryzyka związanego z długotrwałym narażeniem kluczy.

Zobacz Azure Key Vault REST API overview po pełne szczegóły.

Zgodnie z dokumentacją, Skarbce wspierają przechowywanie kluczy oprogramowania i kluczy wspieranych przez HSM, sekretów i certyfikatów. Zarządzane pule HSM wspierają tylko klucze wspierane przez HSM.

Format URL dla skarbców to https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}, a dla zarządzanych pul HSM to: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Gdzie:

• vault-name to globalnie unikalna nazwa skarbca
• object-type może być “keys”, “secrets” lub “certificates”
• object-name to unikalna nazwa obiektu w skarbcu
• object-version jest generowana przez system i opcjonalnie używana do adresowania unikalnej wersji obiektu.

Aby uzyskać dostęp do sekretów przechowywanych w skarbcu, można wybrać między 2 modelami uprawnień podczas tworzenia skarbca:

• Polityka dostępu do skarbca
• Azure RBAC (najczęściej stosowane i zalecane)
• Możesz znaleźć wszystkie szczegółowe uprawnienia wspierane w https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault

Kontrola dostępu

Dostęp do zasobu Key Vault jest kontrolowany przez dwa obszary:

• obszar zarządzania, którego celem jest management.azure.com.
• Używany do zarządzania skarbcem i politykami dostępu. Wspierana jest tylko kontrola dostępu oparta na rolach Azure (RBAC).
• obszar danych, którego celem jest <vault-name>.vault.azure.com.
• Używany do zarządzania i dostępu do danych (kluczy, sekretów i certyfikatów) w skarbcu. Wspiera to polityki dostępu do skarbca lub Azure RBAC.

Rola taka jak Contributor, która ma uprawnienia w obszarze zarządzania do zarządzania politykami dostępu, może uzyskać dostęp do sekretów, modyfikując polityki dostępu.

Wbudowane role RBAC Key Vault

Dostęp sieciowy

W Azure Key Vault można ustawić zasady zapory, aby zezwolić na operacje w obszarze danych tylko z określonych wirtualnych sieci lub zakresów adresów IPv4. To ograniczenie wpływa również na dostęp przez portal administracyjny Azure; użytkownicy nie będą mogli wyświetlać kluczy, sekretów ani certyfikatów w skarbcu, jeśli ich adres IP logowania nie znajduje się w autoryzowanym zakresie.

Aby analizować i zarządzać tymi ustawieniami, możesz użyć Azure CLI:

az keyvault show --name name-vault --query networkAcls

Poprzednie polecenie wyświetli ustawienia zapory name-vault, w tym włączone zakresy IP i zasady dotyczące zablokowanego ruchu.

Ponadto możliwe jest utworzenie prywatnego punktu końcowego, aby umożliwić prywatne połączenie z sejfem.

Ochrona przed usunięciem

Gdy sejf kluczy jest tworzony, minimalna liczba dni dozwolona na usunięcie wynosi 7. Oznacza to, że za każdym razem, gdy spróbujesz usunąć ten sejf kluczy, będzie potrzebne co najmniej 7 dni na jego usunięcie.

Jednak możliwe jest utworzenie sejfu z wyłączoną ochroną przed usunięciem, co pozwala na usunięcie sejfu kluczy i obiektów w trakcie okresu przechowywania. Chociaż, gdy ta ochrona jest włączona dla sejfu, nie można jej wyłączyć.

Enumeracja

# List all Key Vaults in the subscription
az keyvault list
# List Key Vaults in a specific Resource Group
az keyvault list --resource-group <ResourceGroupName>
az keyvault list --query '[].{name:name}' -o tsv # Get just the names
# Show details of a specific Key Vault
az keyvault show --name <KeyVaultName> # If accessPolicies, you can see them here
# List all keys in a Key Vault
az keyvault key list --vault-name <KeyVaultName>
# List all secrets in a Key Vault
az keyvault secret list --vault-name <KeyVaultName>
# Get versions of a secret
az keyvault secret list-versions --vault-name <KeyVaultName> --name <SecretName>
# List all certificates in a Key Vault
az keyvault certificate list --vault-name <KeyVaultName>
# List all deleted Key Vaults in the subscription
az keyvault list-deleted
# Get properties of a deleted Key Vault
az keyvault show-deleted --name <KeyVaultName>
# Get assigned roles
az role assignment list --include-inherited --scope "/subscriptions/<subscription-uuid>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Get secret value
az keyvault secret show --vault-name <KeyVaultName> --name <SecretName>
# Get old versions secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>

# List deleted key vaults
az keyvault secret list-deleted --vault-name <vault-name>

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# Get details of a specific Key Vault
Get-AzKeyVault -VaultName <KeyVaultName>
# List all keys in a Key Vault
Get-AzKeyVaultKey -VaultName <KeyVaultName>
# List all secrets in a Key Vault
Get-AzKeyVaultSecret -VaultName <KeyVaultName>
# List all certificates in a Key Vault
Get-AzKeyVaultCertificate -VaultName <KeyVaultName>
# List all deleted Key Vaults in the subscription
Get-AzKeyVault -InRemovedState
# Get properties of a deleted Key Vault
Get-AzKeyVault -VaultName <KeyVaultName> -InRemovedState
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> -AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done

Eskalacja Uprawnień

Az - Key Vault Privesc

Po Eksploatacji

Az - Key Vault Post Exploitation

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.