Исследователи команды HUNTER из компании Resecurity в своем блоге
о серьезной утечке. В общедоступном файле конфигурации приложений ASP.NET Core произошла утечка учётных данных Azure ActiveDirectory (AD), что потенциально позволяет киберпреступникам проходить аутентификацию напрямую через конечные точки Microsoft OAuth 2.0 и проникать в облачные среды Azure.
Файл конфигурации ASP.NET, последовательное подключение к базам данных, API-ключи и учётные данные облачных сервисов, были выставлены в интернет в открытом доступе. Любой сканер или бот-авантюрист мог бы скачать его и мгновенно начать работу.
о серьезной утечке. В общедоступном файле конфигурации приложений ASP.NET Core произошла утечка учётных данных Azure ActiveDirectory (AD), что потенциально позволяет киберпреступникам проходить аутентификацию напрямую через конечные точки Microsoft OAuth 2.0 и проникать в облачные среды Azure.
Как произошла утечка
Файл конфигурации ASP.NET, последовательное подключение к базам данных, API-ключи и учётные данные облачных сервисов, были выставлены в интернет в открытом доступе. Любой сканер или бот-авантюрист мог бы скачать его и мгновенно начать работу.Возможные последствия
Получив ClientId и ClientSecret, злоумышленник может:- Запросить токен доступа через поток учетных данных клиента OAuth 2.0
- Через Microsoft Graph API перечислить пользователей, группы и разрешения
- Кража данных из SharePoint, OneDrive и Exchange Online
- Расширение привилегий и развертывание традиционных приложений в среде клиента
Рекомендации по защите
Чтобы избежать подобных утечек, необходимо:- Использовать защищённые хранилища (Azure Key Vault, AWS Secrets Manager)
- Изменить секреты конфигурационных файлов и кода
- Регулярное проведение проверок, тестирование на проникновение и проверка кода
- Настроитьь мониторинг использования учётных данных.
- Соблюдать принцип наименьших привилегий и ограничивать доступ к критическим файлам.