HackTricks CloudAWS - Macie Privesc
Tip
Impara & pratica AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Impara & pratica GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Impara & pratica Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Sostieni HackTricks
- Controlla i subscription plans!
- Unisciti al 💬 Discord group o al telegram group o seguici su Twitter 🐦 @hacktricks_live.
- Condividi hacking tricks inviando PRs ai HackTricks e HackTricks Cloud github repos.
Macie
Per maggiori informazioni su Macie consulta:
Amazon Macie - Bypass Reveal Sample Integrity Check
AWS Macie è un servizio di sicurezza che rileva automaticamente dati sensibili all’interno degli ambienti AWS, come credenziali, informazioni identificabili personalmente (PII) e altri dati riservati. Quando Macie identifica una credenziale sensibile, come una AWS secret key memorizzata in un bucket S3, genera un finding che permette al proprietario di visualizzare un “sample” dei dati rilevati. Tipicamente, una volta che il file sensibile viene rimosso dal bucket S3, ci si aspetta che il secret non possa più essere recuperato.
Tuttavia, è stato identificato un bypass in cui un attacker con permessi sufficienti può re-upload a file with the same name ma contenente dati fittizi diversi e non sensibili. Questo fa sì che Macie associ il file appena caricato al finding originale, permettendo all’attacker di utilizzare la “Reveal Sample” feature per estrarre il secret precedentemente rilevato. Questo problema rappresenta un significativo rischio per la sicurezza, poiché secret che si ritenevano cancellati restano recuperabili tramite questo metodo.
Steps To Reproduce:
-
Upload a file (e.g.,
test-secret.txt) to an S3 bucket with sensitive data, such as an AWS secret key. Wait for AWS Macie to scan and generate a finding. -
Navigate to AWS Macie Findings, locate the generated finding, and use the Reveal Sample feature to view the detected secret.
-
Delete
test-secret.txtfrom the S3 bucket and verify that it no longer exists. -
Create a new file named
test-secret.txtwith dummy data and re-upload it to the same S3 bucket using attacker’s account. -
Return to AWS Macie Findings, access the original finding, and click Reveal Sample again.
-
Observe that Macie still reveals the original secret, despite the file being deleted and replaced with different content from different accounts, in our case it will be the attacker’s account.
Summary:
Questa vulnerabilità permette a un attacker con sufficienti permessi AWS IAM di recuperare secret precedentemente rilevati anche dopo che il file originale è stato eliminato da S3. Se una AWS secret key, un access token o altre credenziali sensibili vengono esposte, un attacker potrebbe sfruttare questa falla per recuperarle e ottenere accesso non autorizzato alle risorse AWS. Ciò potrebbe portare a privilege escalation, accesso non autorizzato ai dati o ulteriore compromissione degli asset cloud, con conseguenti data breaches e interruzioni di servizio.
Tip
Impara & pratica AWS Hacking:
Impara & pratica GCP Hacking:
Impara & pratica Az Hacking:Sostieni HackTricks
- Controlla i subscription plans!
- Unisciti al 💬 Discord group o al telegram group o seguici su Twitter 🐦 @hacktricks_live.
- Condividi hacking tricks inviando PRs ai HackTricks e HackTricks Cloud github repos.