AWS - Macie Privesc

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.

Macie

Pour plus d’informations sur Macie, consultez :

AWS - Macie Enum

Amazon Macie - Bypass Reveal Sample Integrity Check

AWS Macie est un service de sécurité qui détecte automatiquement les données sensibles au sein des environnements AWS, telles que les credentials, les informations personnellement identifiables (PII) et d’autres données confidentielles. Lorsqu’Macie identifie une credential sensible, comme une AWS secret key stockée dans un S3 bucket, il génère un finding qui permet au propriétaire de voir un “sample” des données détectées. Typiquement, une fois que le fichier sensible est supprimé du S3 bucket, on s’attend à ce que le secret ne puisse plus être récupéré.

Cependant, un contournement a été identifié où un attaquant disposant des permissions suffisantes peut re-téléverser un fichier portant le même nom mais contenant des données factices différentes et non sensibles. Cela fait qu’Macie associe le fichier nouvellement téléversé au finding original, permettant à l’attaquant d’utiliser la fonctionnalité “Reveal Sample” pour extraire le secret précédemment détecté. Ce problème représente un risque de sécurité important, car des secrets supposés supprimés restent récupérables via cette méthode.

Étapes pour reproduire :

1. Upload un fichier (par ex., test-secret.txt) dans un S3 bucket contenant des données sensibles, comme une AWS secret key. Attendez qu’AWS Macie scanne et génère un finding.

2. Allez dans AWS Macie Findings, localisez le finding généré et utilisez la fonctionnalité Reveal Sample pour voir le secret détecté.

3. Supprimez test-secret.txt du S3 bucket et vérifiez qu’il n’existe plus.

4. Créez un nouveau fichier nommé test-secret.txt avec des données factices et re-téléversez-le dans le même S3 bucket en utilisant le compte de l’attaquant.

5. Retournez dans AWS Macie Findings, accédez au finding original, et cliquez de nouveau sur Reveal Sample.

6. Observez que Macie révèle toujours le secret original, malgré la suppression du fichier et son remplacement par un contenu différent depuis des comptes différents, dans notre cas ce sera le compte de l’attaquant.

Résumé :

Cette vulnérabilité permet à un attaquant disposant des permissions AWS IAM suffisantes de récupérer des secrets précédemment détectés même après que le fichier original ait été supprimé de S3. Si une AWS secret key, un access token ou une autre credential sensible est exposée, un attaquant pourrait exploiter ce défaut pour la récupérer et obtenir un accès non autorisé aux ressources AWS. Cela pourrait mener à une élévation de privilèges, un accès non autorisé aux données, ou une compromission plus étendue des assets cloud, entraînant des fuites de données et des interruptions de service.

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.