Az - Credenciais de Nuvem Local

Reading time: 3 minutes

Armazenamento Local de Tokens e Considerações de Segurança

Azure CLI (Interface de Linha de Comando)

Tokens e dados sensíveis são armazenados localmente pelo Azure CLI, levantando preocupações de segurança:

1. Access Tokens: Armazenados em texto simples dentro de accessTokens.json localizado em C:\Users\<username>\.Azure.
2. Informações de Assinatura: azureProfile.json, no mesmo diretório, contém detalhes da assinatura.
3. Arquivos de Log: A pasta ErrorRecords dentro de .azure pode conter logs com credenciais expostas, como:

• Comandos executados com credenciais incorporadas.
• URLs acessadas usando tokens, potencialmente revelando informações sensíveis.

Azure PowerShell

Azure PowerShell também armazena tokens e dados sensíveis, que podem ser acessados localmente:

1. Access Tokens: TokenCache.dat, localizado em C:\Users\<username>\.Azure, armazena tokens de acesso em texto simples.
2. Segredos de Principal de Serviço: Estes são armazenados sem criptografia em AzureRmContext.json.
3. Recurso de Salvamento de Token: Os usuários têm a capacidade de persistir tokens usando o comando Save-AzContext, que deve ser usado com cautela para evitar acesso não autorizado.

Ferramentas Automáticas para encontrá-los

• Winpeas
• Get-AzurePasswords.ps1

Recomendações de Segurança

Considerando o armazenamento de dados sensíveis em texto simples, é crucial proteger esses arquivos e diretórios por meio de:

• Limitação dos direitos de acesso a esses arquivos.
• Monitoramento e auditoria regulares desses diretórios para acesso não autorizado ou mudanças inesperadas.
• Emprego de criptografia para arquivos sensíveis sempre que possível.
• Educação dos usuários sobre os riscos e melhores práticas para lidar com tais informações sensíveis.