AWS - KMS Enum

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

KMS - Sleutelbestuurdiens

AWS Sleutelbestuurdiens (AWS KMS) word aangebied as ’n bestuurde diens, wat die proses vir gebruikers vereenvoudig om klant meester sleutels (CMKs) te skep en te bestuur. Hierdie CMKs is integraal in die versleuteling van gebruikersdata. ’n Opmerklike kenmerk van AWS KMS is dat CMKs hoofsaaklik beveilig word deur hardewarebeveiligingsmodules (HSMs), wat die beskerming van die versleuteling sleutels verbeter.

KMS gebruik simmetriese kriptografie. Dit word gebruik om inligting in rus te versleutelen (byvoorbeeld, binne ’n S3). As jy inligting in oorgang wil versleutelen, moet jy iets soos TLS gebruik.

KMS is ’n streekspesifieke diens.

Administrateurs by Amazon het nie toegang tot jou sleutels nie. Hulle kan nie jou sleutels herstel nie en hulle help jou nie met die versleuteling van jou sleutels nie. AWS bestuur eenvoudig die bedryfstelsel en die onderliggende toepassing; dit is aan ons om ons versleuteling sleutels te bestuur en te bestuur hoe daardie sleutels gebruik word.

Klant Meester Sleutels (CMK): Kan data tot 4KB in grootte versleutelen. Hulle word tipies gebruik om die DEKs (Data Versleuteling Sleutels) te skep, versleutelen en ontsleutelen. Dan word die DEKs gebruik om die data te versleutelen.

’n Klant meester sleutel (CMK) is ’n logiese voorstelling van ’n meester sleutel in AWS KMS. Benewens die meester sleutel se identifiseerders en ander metadata, insluitend sy skeppingsdatum, beskrywing en sleuteltoestand, bevat ’n CMK die sleutelmateriaal wat gebruik word om data te versleutelen en ontsleutelen. Wanneer jy ’n CMK skep, genereer AWS KMS standaard die sleutelmateriaal vir daardie CMK. Jy kan egter kies om ’n CMK sonder sleutelmateriaal te skep en dan jou eie sleutelmateriaal in daardie CMK te invoer.

Daar is 2 tipes meester sleutels:

  • AWS bestuurde CMKs: Gebruik deur ander dienste om data te versleutelen. Dit word gebruik deur die diens wat dit in ’n streek geskep het. Hulle word geskep die eerste keer wat jy die versleuteling in daardie diens implementeer. Dit draai elke 3 jaar en dit is nie moontlik om dit te verander nie.
  • Klant bestuurde CMKs: Buigsaamheid, rotasie, konfigureerbare toegang en sleutelbeleid. Aktiveer en deaktiveer sleutels.

Envelope Versleuteling in die konteks van Sleutelbestuurdiens (KMS): Twee-laag hiërargie stelsel om data met ’n datasleutel te versleutelen en dan die datasleutel met ’n meester sleutel te versleutelen.

Sleutelbeleide

Hierdie definieer wie ’n sleutel in KMS kan gebruik en toegang hê.

Deur standaard:

  • Dit gee die IAM van die AWS-rekening wat die KMS-sleutel besit toegang om die toegang tot die KMS-sleutel via IAM te bestuur.

In teenstelling met ander AWS hulpbronbeleide, ’n AWS KMS-sleutelbeleid gee nie outomaties toestemming aan enige van die principals van die rekening nie. Om toestemming aan rekening administrateurs te gee, moet die sleutelbeleid ’n eksplisiete verklaring insluit wat hierdie toestemming verskaf, soos hierdie een.

  • Sonder om die rekening toe te laat ("AWS": "arn:aws:iam::111122223333:root") sal IAM-toestemmings nie werk nie.

  • Dit laat die rekening toe om IAM-beleide te gebruik om toegang tot die KMS-sleutel toe te laat, benewens die sleutelbeleid.

Sonder hierdie toestemming is IAM-beleide wat toegang tot die sleutel toelaat, ondoeltreffend, alhoewel IAM-beleide wat toegang tot die sleutel ontken steeds doeltreffend is.

  • Dit verlaag die risiko dat die sleutel onbestuurbaar word deur toegangbeheer toestemming aan die rekening administrateurs te gee, insluitend die rekening wortelgebruiker, wat nie verwyder kan word nie.

Standaard beleid voorbeeld:

{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
}

Warning

As die rekening toegelaat word ("arn:aws:iam::111122223333:root"), sal ’n hoofpersoon van die rekening nog steeds IAM-toestemmings benodig om die KMS-sleutel te gebruik. As die ARN van ’n rol byvoorbeeld spesifiek toegelaat is in die Sleutelbeleid, benodig daardie rol nie IAM-toestemmings nie.

Beleid Besonderhede

Eienskappe van ’n beleid:

  • JSON-gebaseerde dokument
  • Hulpbron –> Aangetaste hulpbronne (kan wees “*”)
  • Aksie –> kms:Encrypt, kms:Decrypt, kms:CreateGrant … (toestemmings)
  • Effek –> Toelaat/Weier
  • Hoofpersoon –> arn aangetref
  • Voorwaardes (opsioneel) –> Voorwaarde om die toestemmings te gee

Toekennings:

  • Laat jou toe om jou toestemmings aan ’n ander AWS-hoofpersoon binne jou AWS-rekening te delegeer. Jy moet dit skep met die AWS KMS API’s. Dit kan die CMK-identifiseerder, die toekenningshoofpersoon en die vereiste vlak van operasie (Decrypt, Encrypt, GenerateDataKey…) aangedui word.
  • Nadat die toekenning geskep is, word ’n GrantToken en ’n GrantID uitgereik.

Toegang:

  • Via sleutelbeleid – As dit bestaan, het dit prioriteit bo die IAM-beleid.
  • Via IAM-beleid.
  • Via toekennings.

Sleutel Administrators

Sleuteladministrateur per standaard:

  • Het toegang om KMS te bestuur, maar nie om data te enkripteer of te dekripteer nie.
  • Slegs IAM-gebruikers en rolle kan by die Sleuteladministratorslys gevoeg word (nie groepe nie).
  • As ’n eksterne CMK gebruik word, het Sleuteladministrators die toestemming om sleutelmateriaal te importeer.

Rotasie van CMK’s

  • Hoe langer dieselfde sleutel in plek gelaat word, hoe meer data word met daardie sleutel geënkripteer, en as daardie sleutel gecompromitteer word, is die groter die blast area van data in gevaar. Benewens dit, hoe langer die sleutel aktief is, hoe groter is die waarskynlikheid dat dit gecompromitteer sal word.
  • KMS roteer kliëntsleutels elke 365 dae (of jy kan die proses handmatig uitvoer wanneer jy wil) en sleutels wat deur AWS bestuur word elke 3 jaar en hierdie tyd kan nie verander word nie.
  • Ou sleutels word behou om data te dekripteer wat voor die rotasie geënkripteer was.
  • In ’n breek, sal die rotasie van die sleutel nie die bedreiging verwyder nie, aangesien dit moontlik sal wees om al die data wat met die gecompromitteerde sleutel geënkripteer is, te dekripteer. Maar, die nuwe data sal met die nuwe sleutel geënkripteer word.
  • As CMK in ’n toestand van gedeaktiveer of hangende verwydering is, sal KMS nie ’n sleutelrotasie uitvoer totdat die CMK heraktiveer of die verwydering gekanselleer word nie.

Handmatige rotasie

  • ’n Nuwe CMK moet geskep word, dan, ’n nuwe CMK-ID word geskep, so jy sal moet opdateer enige toepassing om die nuwe CMK-ID te verwys.
  • Om hierdie proses makliker te maak, kan jy aliases gebruik om na ’n sleutel-id te verwys en dan net die sleutel wat die alias verwys, opdateer.
  • Jy moet ou sleutels hou om ou lêers te dekripteer wat daarmee geënkripteer is.

Jy kan sleutels van jou plaaslike sleutel-infrastruktuur invoer.

Ander relevante KMS-inligting

KMS word geprys per aantal enkripsie/dekripsie versoeke wat van alle dienste per maand ontvang word.

KMS het volle oudit en nakoming integrasie met CloudTrail; dit is waar jy al die veranderinge wat op KMS uitgevoer is, kan oudit.

Met KMS-beleid kan jy die volgende doen:

  • Beperk wie data sleutels kan skep en watter dienste toegang het om hierdie sleutels te gebruik.
  • Beperk stelsels se toegang om slegs te enkripteer, slegs te dekripteer of albei.
  • Definieer om stelsels toe te laat om sleutels oor streke te benader (alhoewel dit nie aanbeveel word nie, aangesien ’n mislukking in die streek wat KMS huisves, die beskikbaarheid van stelsels in ander streke sal beïnvloed).

Jy kan nie sleutels oor streke sinkroniseer of beweeg/kopieer nie; jy kan slegs reëls definieer om toegang oor streke toe te laat.

Enumerasie

aws kms list-keys
aws kms list-key-policies --key-id <id>
aws kms list-grants --key-id <id>
aws kms describe-key --key-id <id>
aws kms get-key-policy --key-id <id> --policy-name <name> # Default policy name is "default"
aws kms describe-custom-key-stores

# This script enumerates AWS KMS keys across all available regions.
for region in $(aws ec2 describe-regions --query "Regions[].RegionName" --output text); do
echo -e "\n### Region: $region ###"; aws kms list-keys --region $region --query "Keys[].KeyId" --output text | tr '\t' '\n';
done

Privesc

AWS - KMS Privesc

Post Exploitation

AWS - KMS Post Exploitation

Persistence

AWS - KMS Persistence

Verwysings

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks