ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Исследователи команды HUNTER из компании Resecurity в своем блоге сообщили о серьезной утечке. В общедоступном файле конфигурации приложений ASP.NET Core произошла утечка учётных данных Azure ActiveDirectory (AD), что потенциально позволяет киберпреступникам проходить аутентификацию напрямую через конечные точки Microsoft OAuth 2.0 и проникать в облачные среды Azure.
Как произошла утечка
Файл конфигурации ASP.NET, последовательное подключение к базам данных, API-ключи и учётные данные облачных сервисов, были выставлены в интернет в открытом доступе. Любой сканер или бот-авантюрист мог бы скачать его и мгновенно начать работу.
Возможные последствия
Получив ClientId и ClientSecret, злоумышленник может:

• Запросить токен доступа через поток учетных данных клиента OAuth 2.0
  
• Через Microsoft Graph API перечислить пользователей, группы и разрешения
  
• Кража данных из SharePoint, OneDrive и Exchange Online
  
• Расширение привилегий и развертывание традиционных приложений в среде клиента

Ключевыми целями являются такие высокоприоритетные группы, как глобальные администраторы, поскольку компрометация одного члена группы дает полный контроль над арендатором
Рекомендации по защите
Чтобы избежать подобных утечек, необходимо:

• Использовать защищённые хранилища (Azure Key Vault, AWS Secrets Manager)
  
• Изменить секреты конфигурационных файлов и кода
  
• Регулярное проведение проверок, тестирование на проникновение и проверка кода
  
• Настроитьь мониторинг использования учётных данных.
  
• Соблюдать принцип наименьших привилегий и ограничивать доступ к критическим файлам.

Раскрытие
— это не просто неправильная настройка, а прямой векторный удар, передающий «ключи к облаку» злоумышленникам.