HackTricks CloudAWS - Macie Privesc
Reading time: 4 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
Macie
Für mehr Informationen zu Macie siehe:
Amazon Macie - Bypass Reveal Sample Integrity Check
AWS Macie ist ein Security-Service, der automatisch sensitive Daten in AWS-Umgebungen erkennt, wie credentials, personally identifiable information (PII) und andere vertrauliche Daten. Wenn Macie eine sensitive credential, z. B. einen AWS secret key in einem S3-Bucket, identifiziert, erzeugt es ein finding, das dem Besitzer erlaubt, ein "sample" der erkannten Daten anzusehen. Normalerweise wird erwartet, dass das Secret nach Entfernen der sensiblen Datei aus dem S3-Bucket nicht mehr abgerufen werden kann.
Allerdings wurde ein bypass identifiziert, bei dem ein attacker mit ausreichenden Rechten eine Datei mit demselben Namen wieder hochladen kann, die jedoch andere, nicht-sensitive Dummy-Daten enthält. Dadurch verknüpft Macie die neu hochgeladene Datei mit dem ursprünglichen finding, was dem attacker ermöglicht, die "Reveal Sample" feature zu nutzen, um das zuvor erkannte Secret zu extrahieren. Dieses Problem stellt ein erhebliches Sicherheitsrisiko dar, da Secrets, die als gelöscht angenommen wurden, auf diese Weise weiterhin wiederherstellbar bleiben.
Steps To Reproduce:
-
Lade eine Datei hoch (z. B.
test-secret.txt) in einen S3-Bucket mit sensitiven Daten, wie einem AWS secret key. Warte, bis AWS Macie scannt und ein finding erstellt. -
Öffne AWS Macie Findings, finde das erzeugte finding und nutze die Reveal Sample feature, um das erkannte Secret anzusehen.
-
Lösche
test-secret.txtaus dem S3-Bucket und verifiziere, dass sie nicht mehr existiert. -
Erstelle eine neue Datei mit dem Namen
test-secret.txtmit Dummy-Daten und lade sie in denselben S3-Bucket erneut hoch, verwendet vom attacker's account. -
Kehre zu AWS Macie Findings zurück, öffne das ursprüngliche finding und klicke erneut auf Reveal Sample.
-
Beobachte, dass Macie weiterhin das ursprüngliche Secret anzeigt, obwohl die Datei gelöscht und durch anderen Inhalt ersetzt wurde von unterschiedlichen Accounts, in unserem Fall vom attacker's account.
Summary:
Diese Verwundbarkeit erlaubt es einem attacker mit ausreichenden AWS IAM-Rechten, zuvor erkannte Secrets wiederherzustellen, selbst nachdem die ursprüngliche Datei aus S3 gelöscht wurde. Wenn ein AWS secret key, access token oder eine andere sensitive credential exponiert wurde, könnte ein attacker diese Schwachstelle ausnutzen, um sie zu erhalten und unautorisierten Zugriff auf AWS-Ressourcen zu erlangen. Dies kann zu privilege escalation, unautorisiertem Datenzugriff oder weiterer Kompromittierung von cloud assets führen, was in Datenlecks und Dienstunterbrechungen enden kann.
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.