HackTricks CloudAWS - Macie Privesc
Tip
Ucz się & ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.
Macie
Więcej informacji o Macie znajdziesz:
Amazon Macie - Bypass Reveal Sample Integrity Check
AWS Macie to usługa bezpieczeństwa, która automatycznie wykrywa dane wrażliwe w środowiskach AWS, takie jak poświadczenia, personally identifiable information (PII) oraz inne dane poufne. Gdy Macie identyfikuje wrażliwe poświadczenie, np. AWS secret key przechowywany w S3 bucket, generuje finding, który pozwala właścicielowi zobaczyć “sample” wykrytych danych. Zazwyczaj, po usunięciu wrażliwego pliku z S3 bucket, oczekuje się, że sekret nie będzie już możliwy do odzyskania.
Zidentyfikowano jednak bypass, w którym attacker z odpowiednimi uprawnieniami może ponownie przesłać plik o tej samej nazwie, ale zawierający inne, nieszkodliwe dane testowe. Powoduje to, że Macie łączy nowo przesłany plik z oryginalnym findingiem, co pozwala attackerowi użyć funkcji “Reveal Sample” do wydobycia wcześniej wykrytego sekretu. To stanowi poważne ryzyko bezpieczeństwa, ponieważ sekrety, które uznano za usunięte, pozostają możliwe do odzyskania tą metodą.
Steps To Reproduce:
-
Prześlij plik (np.
test-secret.txt) do S3 bucket zawierający wrażliwe dane, takie jak AWS secret key. Poczekaj, aż AWS Macie przeskanuje i wygeneruje finding. -
Przejdź do AWS Macie Findings, znajdź wygenerowany finding i użyj funkcji Reveal Sample, aby zobaczyć wykryty sekret.
-
Usuń
test-secret.txtz S3 bucket i zweryfikuj, że plik już nie istnieje. -
Utwórz nowy plik o nazwie
test-secret.txtz danymi testowymi i ponownie prześlij go do tego samego S3 bucket, korzystając z attacker’s account. -
Wróć do AWS Macie Findings, otwórz oryginalny finding i ponownie kliknij Reveal Sample.
-
Zauważ, że Macie nadal ujawnia oryginalny sekret, mimo że plik został usunięty i zastąpiony inną zawartością z różnych kont, w naszym przypadku będzie to attacker’s account.
Summary:
Ta luka pozwala attackerowi z odpowiednimi uprawnieniami AWS IAM odzyskać wcześniej wykryte sekrety nawet po tym, jak oryginalny plik został usunięty z S3. Jeśli AWS secret key, access token lub inne wrażliwe poświadczenie zostanie ujawnione, attacker mógłby wykorzystać tę wadę do jego odzyskania i uzyskania nieautoryzowanego dostępu do zasobów AWS. Może to prowadzić do privilege escalation, nieautoryzowanego dostępu do danych lub dalszego kompromitowania zasobów chmurowych, skutkując wyciekami danych i zakłóceniami usług.
Tip
Ucz się & ćwicz AWS Hacking:
Ucz się & ćwicz GCP Hacking:
Ucz się & ćwicz Az Hacking:Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.