AWS - Cognito Persistence

Reading time: 3 minutes

Cognito

Für weitere Informationen, greifen Sie zu:

AWS - Cognito Enum

Benutzerpersistenz

Cognito ist ein Dienst, der es ermöglicht, Rollen für nicht authentifizierte und authentifizierte Benutzer zu vergeben und ein Verzeichnis von Benutzern zu steuern. Mehrere verschiedene Konfigurationen können geändert werden, um eine gewisse Persistenz aufrechtzuerhalten, wie zum Beispiel:

• Hinzufügen eines Benutzerpools, der vom Benutzer zu einem Identitätspool kontrolliert wird
• Eine IAM-Rolle einem nicht authentifizierten Identitätspool zuweisen und den Basis-Auth-Flow erlauben
• Oder einem authentifizierten Identitätspool, wenn der Angreifer sich anmelden kann
• Oder die Berechtigungen der vergebenen Rollen verbessern
• Erstellen, Überprüfen & Privilegieneskalation über Attribute kontrollierte Benutzer oder neue Benutzer in einem Benutzerpool
• Erlauben externer Identitätsanbieter, sich in einen Benutzerpool oder in einen Identitätspool einzuloggen

Überprüfen Sie, wie Sie diese Aktionen durchführen können in

AWS - Cognito Privesc

cognito-idp:SetRiskConfiguration

Ein Angreifer mit diesem Privileg könnte die Risikokonfiguration ändern, um sich als Cognito-Benutzer einzuloggen, ohne dass Alarme ausgelöst werden. Überprüfen Sie die CLI, um alle Optionen zu sehen:

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

Standardmäßig ist dies deaktiviert: