AWS - Macie Privesc

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

• सदस्यता योजनाओं की जांच करें!
• हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
• हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।

Macie

Macie के बारे में अधिक जानकारी के लिए देखें:

AWS - Macie Enum

Amazon Macie - Bypass Reveal Sample Integrity Check

AWS Macie एक सुरक्षा सेवा है जो ऑटोमेटिकली AWS environments के भीतर sensitive data को पहचानती है, जैसे credentials, personally identifiable information (PII), और अन्य confidential data. जब Macie कोई sensitive credential पहचानता है — उदाहरण के लिए S3 bucket में stored AWS secret key — तो यह एक finding जनरेट करता है जो owner को detected data का “sample” देखने की अनुमति देता है। आमतौर पर, एक बार sensitive file S3 bucket से हटाने पर, उम्मीद रहती है कि secret अब पुनः प्राप्त नहीं किया जा सकेगा।

हालाँकि, एक bypass पहचाना गया है जहाँ पर्याप्त permissions वाला attacker उसी नाम की फ़ाइल फिर से अपलोड कर सकता है, लेकिन उसमें अलग, non-sensitive dummy data होता है। इससे Macie नई अपलोड की गई फ़ाइल को मूल finding से associate कर देता है, और attacker पहले पहचाने गए secret को निकालने के लिए “Reveal Sample” feature का उपयोग कर सकता है। यह समस्या गंभीर सुरक्षा जोखिम पैदा करती है, क्योंकि वे secrets जिन्हें हटाया हुआ समझा गया था, इस तरीके से पुनः प्राप्त किए जा सकते हैं।

Steps To Reproduce:

1. S3 bucket में sensitive data जैसे AWS secret key वाली फ़ाइल (उदा., test-secret.txt) अपलोड करें। AWS Macie के scan करके finding जनरेट करने का इंतज़ार करें।

2. AWS Macie Findings में जाएँ, जनरेट हुई finding locate करें, और detected secret देखने के लिए Reveal Sample feature का उपयोग करें।

3. S3 bucket से test-secret.txt को delete करें और पुष्टि करें कि वह अब मौजूद नहीं है।

4. Dummy data वाली नई फ़ाइल test-secret.txt बनाकर attacker’s account से उसी S3 bucket में पुनः अपलोड करें।

5. AWS Macie Findings पर वापस जाएँ, मूल finding खोलें, और फिर से Reveal Sample क्लिक करें।

6. ध्यान दें कि Macie अभी भी मूल secret दिखाता है, भले ही फ़ाइल हटाकर अलग content से बदली गयी हो और वह अलग accounts से आई हो — हमारे मामले में attacker’s account।

Summary:

यह vulnerability उन attackers को सक्षम बनाती है जिनके पास पर्याप्त AWS IAM permissions हैं कि वे मूल फ़ाइल S3 से delete होने के बाद भी पहले पहचाने गए secrets को recover कर सकें। यदि कोई AWS secret key, access token, या अन्य sensitive credential एक्सपोज़ हुआ है, तो attacker इस flaw का उपयोग करके उसे retrieve कर सकता है और unauthorized तरीके से AWS resources तक पहुंच हासिल कर सकता है। इससे privilege escalation, unauthorized data access, या cloud assets का और भी compromise हो सकता है, जिसके परिणामस्वरूप data breaches और service disruptions हो सकते हैं।

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

• सदस्यता योजनाओं की जांच करें!
• हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
• हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।