AWS - S3 Persistence

Reading time: 2 minutes

S3

Für weitere Informationen siehe:

AWS - S3, Athena & Glacier Enum

KMS Client-Side Encryption

Wenn der Verschlüsselungsprozess abgeschlossen ist, verwendet der Benutzer die KMS API, um einen neuen Schlüssel zu erzeugen (aws kms generate-data-key) und er wird den erzeugten verschlüsselten Schlüssel in den Metadaten der Datei speichern (python code example), sodass beim Entschlüsseln dieser mithilfe von KMS wieder entschlüsselt werden kann:

Ein Angreifer könnte diesen Schlüssel also aus den Metadaten auslesen und mit KMS (aws kms decrypt) entschlüsseln, um den zur Verschlüsselung der Informationen verwendeten Schlüssel zu erhalten. Auf diese Weise besitzt der Angreifer den Verschlüsselungsschlüssel; wenn derselbe Schlüssel zur Verschlüsselung anderer Dateien wiederverwendet wird, kann er ihn auch dafür nutzen.

Using S3 ACLs

Obwohl ACLs von Buckets normalerweise deaktiviert sind, könnte ein Angreifer mit ausreichenden Rechten sie missbrauchen (falls sie aktiviert sind oder der Angreifer sie aktivieren kann), um Zugriff auf das S3-Bucket beizubehalten.