HackTricks CloudAWS - Macie Privesc
Reading time: 3 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
Macie
Для детальнішої інформації про Macie перегляньте:
Amazon Macie - Bypass Reveal Sample Integrity Check
AWS Macie — сервіс безпеки, що автоматично виявляє чутливі дані в AWS-середовищах, такі як credentials, personally identifiable information (PII) та інша конфіденційна інформація. Коли Macie виявляє чутливий секрет, наприклад AWS secret key, збережений в S3 bucket, він генерує finding, який дозволяє власнику переглянути "sample" виявлених даних. Зазвичай після видалення чутливого файлу з S3 bucket очікується, що секрет більше не можна буде отримати.
Однак виявлено bypass, при якому attacker з достатніми правами може re-upload a file with the same name, але з іншим, не-чутливим тестовим вмістом. Це призводить до того, що Macie асоціює щойно завантажений файл з оригінальним finding, дозволяючи attacker за допомогою "Reveal Sample" feature витягти раніше виявлений секрет. Це становить значний ризик безпеки, оскільки секрети, які вважалися видаленими, залишаються доступними через цей метод.
Steps To Reproduce:
-
Завантажте файл (наприклад,
test-secret.txt) у S3 bucket з конфіденційними даними, такими як AWS secret key. Зачекайте, поки AWS Macie просканує та згенерує finding. -
Перейдіть до AWS Macie Findings, знайдіть згенерований finding і використайте Reveal Sample для перегляду виявленого секрету.
-
Видаліть
test-secret.txtз S3 bucket і переконайтесь, що файл більше не існує. -
Створіть новий файл з ім'ям
test-secret.txtз тестовими даними та повторно завантажте його в той самий S3 bucket, використовуючи attacker's account. -
Поверніться до AWS Macie Findings, відкрийте оригінальний finding і натисніть Reveal Sample ще раз.
-
Зауважте, що Macie все ще показує оригінальний секрет, незважаючи на те, що файл було видалено та замінено іншим вмістом from different accounts, in our case it will be the attacker's account.
Summary:
Ця вразливість дозволяє attacker з достатніми правами AWS IAM відновлювати раніше виявлені секрети навіть після того, як оригінальний файл було видалено з S3. Якщо буде виявлено AWS secret key, access token або інші чутливі credential, attacker може скористатися цим дефектом, щоб отримати їх і заволодіти несанкціонованим доступом до AWS resources. Це може призвести до privilege escalation, несанкціонованого доступу до даних або подальшого компрометування cloud assets, що внаслідок — витоку даних та перебоїв у роботі сервісів.
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.