HackTricks CloudAWS - Macie Privesc
Tip
Aprende y practica AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Apoya a HackTricks
- Consulta los subscription plans!
- Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.
Macie
Para más información sobre Macie consulta:
Amazon Macie - Bypass Reveal Sample Integrity Check
AWS Macie es un servicio de seguridad que detecta automáticamente datos sensibles dentro de entornos AWS, como credenciales, información de identificación personal (PII) y otros datos confidenciales. Cuando Macie identifica una credencial sensible, como una AWS secret key almacenada en un bucket S3, genera un finding que permite al propietario ver una “sample” del dato detectado. Normalmente, una vez que el archivo sensible se elimina del bucket S3, se espera que el secret ya no pueda recuperarse.
Sin embargo, se ha identificado un bypass donde un attacker con permisos suficientes puede volver a subir un archivo con el mismo nombre pero conteniendo datos dummy distintos y no sensibles. Esto hace que Macie asocie el archivo recién subido con el finding original, permitiendo al attacker usar la “Reveal Sample” feature para extraer el secret detectado previamente. Este problema supone un riesgo de seguridad significativo, ya que secrets que se suponía estaban eliminados siguen siendo recuperables mediante este método.
Steps To Reproduce:
-
Subir un archivo (p.ej.,
test-secret.txt) a un bucket S3 con datos sensibles, como una AWS secret key. Esperar a que AWS Macie lo analice y genere un finding. -
Ir a AWS Macie Findings, localizar el finding generado y usar la Reveal Sample feature para ver el secret detectado.
-
Eliminar
test-secret.txtdel bucket S3 y verificar que ya no exista. -
Crear un nuevo archivo llamado
test-secret.txtcon datos dummy y volver a subirlo al mismo bucket S3 usando la attacker’s account. -
Volver a AWS Macie Findings, acceder al finding original y hacer clic en Reveal Sample de nuevo.
-
Observar que Macie sigue revelando el secret original, a pesar de que el archivo fue eliminado y reemplazado con contenido distinto desde cuentas diferentes; en nuestro caso será la attacker’s account.
Resumen:
Esta vulnerabilidad permite a un attacker con permisos suficientes de AWS IAM recuperar secrets detectados previamente incluso después de que el archivo original haya sido eliminado de S3. Si una AWS secret key, un token de acceso u otra credencial sensible queda expuesta, un attacker podría explotar esta falla para recuperarla y obtener acceso no autorizado a recursos AWS. Esto podría conducir a privilege escalation, acceso no autorizado a datos o una mayor compromisión de activos en la nube, resultando en brechas de datos e interrupciones del servicio.
Tip
Aprende y practica AWS Hacking:
Aprende y practica GCP Hacking:
Aprende y practica Az Hacking:Apoya a HackTricks
- Consulta los subscription plans!
- Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.