HackTricks CloudAWS - Macie Privesc
Reading time: 4 minutes
tip
Aprenda e pratique Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
Macie
Para mais informações sobre Macie veja:
Amazon Macie - Bypass Reveal Sample Verificação de Integridade
AWS Macie é um serviço de segurança que detecta automaticamente dados sensíveis dentro de ambientes AWS, como credenciais, informações pessoalmente identificáveis (PII) e outros dados confidenciais. Quando Macie identifica uma credencial sensível, como uma AWS secret key armazenada em um S3 bucket, ele gera um finding que permite ao proprietário visualizar uma "sample" dos dados detectados. Tipicamente, uma vez que o arquivo sensível é removido do S3 bucket, espera-se que o segredo não possa mais ser recuperado.
No entanto, foi identificado um bypass onde um atacante com permissões suficientes pode re-upload a file with the same name mas contendo dados dummy diferentes e não sensíveis. Isso faz com que o Macie associe o arquivo recém-carregado ao finding original, permitindo que o atacante use o recurso Reveal Sample para extrair o segredo detectado anteriormente. Esse problema representa um risco significativo de segurança, pois segredos que supostamente foram deletados continuam recuperáveis por esse método.
Passos para Reproduzir:
-
Faça upload de um arquivo (ex.:
test-secret.txt) em um S3 bucket contendo dados sensíveis, como uma AWS secret key. Aguarde o AWS Macie escanear e gerar um finding. -
Navegue até AWS Macie Findings, localize o finding gerado e use o recurso Reveal Sample para visualizar o segredo detectado.
-
Delete
test-secret.txtdo S3 bucket e verifique que ele não existe mais. -
Crie um novo arquivo chamado
test-secret.txtcom dados dummy e re-upload no mesmo S3 bucket usando attacker's account. -
Retorne ao AWS Macie Findings, acesse o finding original e clique em Reveal Sample novamente.
-
Observe que o Macie ainda revela o segredo original, apesar do arquivo ter sido deletado e substituído por conteúdo diferente from different accounts, in our case it will be the attacker's account.
Resumo:
Essa vulnerabilidade permite que um atacante com permissões AWS IAM suficientes recupere segredos detectados anteriormente mesmo após o arquivo original ter sido deletado do S3. Se uma AWS secret key, access token, ou outra credencial sensível for exposta, um atacante poderia explorar essa falha para recuperá-la e obter acesso não autorizado a recursos AWS. Isso pode levar a privilege escalation, acesso não autorizado a dados, ou comprometimento adicional de cloud assets, resultando em data breaches e interrupções de serviço.
tip
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.