HackTricks CloudAWS - Macie Privesc
Tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP :HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
Macie
Pour plus d’informations sur Macie, consultez :
Amazon Macie - Bypass Reveal Sample Integrity Check
AWS Macie est un service de sécurité qui détecte automatiquement les données sensibles au sein des environnements AWS, telles que les credentials, les informations personnellement identifiables (PII) et d’autres données confidentielles. Lorsqu’Macie identifie une credential sensible, comme une AWS secret key stockée dans un S3 bucket, il génère un finding qui permet au propriétaire de voir un “sample” des données détectées. Typiquement, une fois que le fichier sensible est supprimé du S3 bucket, on s’attend à ce que le secret ne puisse plus être récupéré.
Cependant, un contournement a été identifié où un attaquant disposant des permissions suffisantes peut re-téléverser un fichier portant le même nom mais contenant des données factices différentes et non sensibles. Cela fait qu’Macie associe le fichier nouvellement téléversé au finding original, permettant à l’attaquant d’utiliser la fonctionnalité “Reveal Sample” pour extraire le secret précédemment détecté. Ce problème représente un risque de sécurité important, car des secrets supposés supprimés restent récupérables via cette méthode.
Étapes pour reproduire :
-
Upload un fichier (par ex.,
test-secret.txt) dans un S3 bucket contenant des données sensibles, comme une AWS secret key. Attendez qu’AWS Macie scanne et génère un finding. -
Allez dans AWS Macie Findings, localisez le finding généré et utilisez la fonctionnalité Reveal Sample pour voir le secret détecté.
-
Supprimez
test-secret.txtdu S3 bucket et vérifiez qu’il n’existe plus. -
Créez un nouveau fichier nommé
test-secret.txtavec des données factices et re-téléversez-le dans le même S3 bucket en utilisant le compte de l’attaquant. -
Retournez dans AWS Macie Findings, accédez au finding original, et cliquez de nouveau sur Reveal Sample.
-
Observez que Macie révèle toujours le secret original, malgré la suppression du fichier et son remplacement par un contenu différent depuis des comptes différents, dans notre cas ce sera le compte de l’attaquant.
Résumé :
Cette vulnérabilité permet à un attaquant disposant des permissions AWS IAM suffisantes de récupérer des secrets précédemment détectés même après que le fichier original ait été supprimé de S3. Si une AWS secret key, un access token ou une autre credential sensible est exposée, un attaquant pourrait exploiter ce défaut pour la récupérer et obtenir un accès non autorisé aux ressources AWS. Cela pourrait mener à une élévation de privilèges, un accès non autorisé aux données, ou une compromission plus étendue des assets cloud, entraînant des fuites de données et des interruptions de service.
Tip
Apprenez et pratiquez le hacking AWS :
Apprenez et pratiquez le hacking GCP :Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.