HackTricks CloudAWS - Macie Privesc
Reading time: 3 minutes
tip
Impara e pratica il hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.
Macie
Per ulteriori informazioni su Macie, controlla:
Amazon Macie - Bypass Reveal Sample Integrity Check
AWS Macie è un servizio di sicurezza che rileva automaticamente dati sensibili all'interno degli ambienti AWS, come credenziali, informazioni personali identificabili (PII) e altri dati riservati. Quando Macie identifica una credenziale sensibile, come una chiave segreta AWS memorizzata in un bucket S3, genera un finding che consente al proprietario di visualizzare un "campione" dei dati rilevati. Tipicamente, una volta che il file sensibile è stato rimosso dal bucket S3, ci si aspetta che il segreto non possa più essere recuperato.
Tuttavia, è stato identificato un bypass in cui un attaccante con permessi sufficienti può ri-caricare un file con lo stesso nome ma contenente dati fittizi non sensibili. Questo fa sì che Macie associ il file appena caricato con il finding originale, consentendo all'attaccante di utilizzare la funzione "Reveal Sample" per estrarre il segreto precedentemente rilevato. Questo problema rappresenta un rischio significativo per la sicurezza, poiché i segreti che si presumevano eliminati rimangono recuperabili tramite questo metodo.
Steps To Reproduce:
-
Carica un file (ad es.,
test-secret.txt) in un bucket S3 con dati sensibili, come una chiave segreta AWS. Attendi che AWS Macie scansiona e genera un finding. -
Naviga verso i Finding di AWS Macie, individua il finding generato e utilizza la funzione Reveal Sample per visualizzare il segreto rilevato.
-
Elimina
test-secret.txtdal bucket S3 e verifica che non esista più. -
Crea un nuovo file chiamato
test-secret.txtcon dati fittizi e ri-caricalo nello stesso bucket S3 utilizzando l'account dell'attaccante. -
Torna ai Finding di AWS Macie, accedi al finding originale e clicca di nuovo su Reveal Sample.
-
Osserva che Macie rivela ancora il segreto originale, nonostante il file sia stato eliminato e sostituito con contenuti diversi da account diversi, nel nostro caso sarà l'account dell'attaccante.
Summary:
Questa vulnerabilità consente a un attaccante con permessi IAM AWS sufficienti di recuperare segreti precedentemente rilevati anche dopo che il file originale è stato eliminato da S3. Se una chiave segreta AWS, un token di accesso o un'altra credenziale sensibile viene esposta, un attaccante potrebbe sfruttare questo difetto per recuperarla e ottenere accesso non autorizzato alle risorse AWS. Questo potrebbe portare a un'escalation dei privilegi, accesso non autorizzato ai dati o ulteriore compromissione delle risorse cloud, con conseguenti violazioni dei dati e interruzioni del servizio.