AWS - Macie Privesc

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

Macie

Vir meer inligting oor Macie kyk:

AWS - Macie Enum

Amazon Macie - Bypass Reveal Sample Integriteitskontrole

AWS Macie is ’n sekuriteitsdiens wat sensitiewe data binne AWS-omgewings outomaties opspoor, soos credentials, personally identifiable information (PII), en ander vertroulike data. Wanneer Macie ’n sensitiewe credential identifiseer, soos ’n AWS secret key wat in ’n S3 bucket gestoor is, genereer dit ’n finding wat die eienaar in staat stel om ’n “sample” van die opgespoor data te sien. Gewoonlik, sodra die sensitiewe lêer van die S3 bucket verwyder is, word verwag dat die geheim nie langer herkrygbaar is nie.

Echter, ’n bypass is geïdentifiseer waar ’n attacker met voldoende permissies ’n lêer met dieselfde naam weer kan oplaai wat ander, nie-sensitiewe dummy-data bevat. Dit veroorsaak dat Macie die nuut opgelaaide lêer met die oorspronklike finding assosieer, wat die attacker in staat stel om die “Reveal Sample” feature te gebruik om die voorheen opgespoorde geheim te onttrek. Hierdie kwessie stel ’n beduidende sekuriteitsrisiko voor, aangesien geheime wat as verwyder beskou is, steeds via hierdie metode herwinbaar bly.

Stappe om te reproduseer:

1. Laai ’n lêer (bv. test-secret.txt) na ’n S3 bucket met sensitiewe data, soos ’n AWS secret key. Wag vir AWS Macie om te scan en ’n finding te genereer.

2. Gaan na AWS Macie Findings, lokaliseer die gegenereerde finding, en gebruik die Reveal Sample feature om die opgespoorde geheim te sien.

3. Verwyder test-secret.txt van die S3 bucket en verifieer dat dit nie meer bestaan nie.

4. Skep ’n nuwe lêer met die naam test-secret.txt met dummy-data en laai dit weer op na dieselfde S3 bucket met behulp van attacker’s account.

5. Gaan terug na AWS Macie Findings, toegang die oorspronklike finding, en klik weer op Reveal Sample.

6. Let op dat Macie steeds die oorspronklike geheim openbaar, ondanks dat die lêer verwyder en vervang is met verskillende inhoud van verskillende accounts; in ons geval sal dit die attacker’s account wees.

Opsomming:

Hierdie kwesbaarheid stel ’n attacker met voldoende AWS IAM permissies in staat om voorheen opgespoorde geheime te herstel, selfs nadat die oorspronklike lêer van S3 verwyder is. As ’n AWS secret key, access token, of ander sensitiewe credential blootgestel is, kan ’n attacker hierdie fout misbruik om dit te herwin en ongemagtigde toegang tot AWS hulpbronne te verkry. Dit kan lei tot privilege escalation, ongemagtigde data-toegang, of verdere kompromittering van cloud assets, wat data-oortredings en diensonderbrekings tot gevolg kan hê.

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.