AWS - Step Functions Privesc
Last updated
Last updated
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Pour plus d'informations sur ce service AWS, consultez :
AWS - Step Functions EnumCes techniques d'escalade de privilèges nécessiteront d'utiliser certaines ressources de fonction d'étape AWS afin d'effectuer les actions d'escalade de privilèges souhaitées.
Pour vérifier toutes les actions possibles, vous pouvez vous rendre sur votre propre compte AWS, sélectionner l'action que vous souhaitez utiliser et voir les paramètres qu'elle utilise, comme dans :
Ou vous pouvez également consulter la documentation API AWS et vérifier la documentation de chaque action :
states:TestState
& iam:PassRole
Un attaquant avec les permissions states:TestState
& iam:PassRole
peut tester n'importe quel état et passer n'importe quel rôle IAM sans créer ou mettre à jour une machine d'état existante, permettant un accès non autorisé à d'autres services AWS avec les permissions des rôles. potentiellement. Combinées, ces permissions peuvent conduire à des actions non autorisées étendues, allant de la manipulation des flux de travail à l'altération des données, aux violations de données, à la manipulation des ressources et à l'escalade de privilèges.
Les exemples suivants montrent comment tester un état qui crée une clé d'accès pour l'utilisateur admin
en tirant parti de ces autorisations et d'un rôle permissif de l'environnement AWS. Ce rôle permissif devrait avoir une politique à privilèges élevés associée (par exemple arn:aws:iam::aws:policy/AdministratorAccess
) qui permet à l'état d'effectuer l'action iam:CreateAccessKey
:
stateDefinition.json:
Commande exécutée pour effectuer le privesc :
Impact potentiel : Exécution non autorisée et manipulation de flux de travail et accès à des ressources sensibles, pouvant entraîner des violations de sécurité significatives.
states:CreateStateMachine
& iam:PassRole
& (states:StartExecution
| states:StartSyncExecution
)Un attaquant avec les states:CreateStateMachine
& iam:PassRole
serait capable de créer une machine d'état et de lui fournir n'importe quel rôle IAM, permettant un accès non autorisé à d'autres services AWS avec les permissions du rôle. Contrairement à la technique de privesc précédente (states:TestState
& iam:PassRole
), celle-ci ne s'exécute pas d'elle-même, vous aurez également besoin des permissions states:StartExecution
ou states:StartSyncExecution
(states:StartSyncExecution
n'est pas disponible pour les flux de travail standard, juste pour les machines d'état express) afin de démarrer une exécution sur la machine d'état.
Les exemples suivants montrent comment créer une machine d'état qui crée une clé d'accès pour l'utilisateur admin
et exfiltre cette clé d'accès vers un bucket S3 contrôlé par un attaquant, en tirant parti de ces autorisations et d'un rôle permissif de l'environnement AWS. Ce rôle permissif devrait avoir une politique à privilèges élevés associée (par exemple arn:aws:iam::aws:policy/AdministratorAccess
) qui permet à la machine d'état d'effectuer les actions iam:CreateAccessKey
et s3:putObject
.
stateMachineDefinition.json:
Commande exécutée pour créer la machine d'état :
Commande exécutée pour démarrer une exécution de la machine d'état précédemment créée :
Le bucket S3 contrôlé par l'attaquant doit avoir des permissions pour accepter une action s3:PutObject du compte victime.
Impact potentiel : Exécution non autorisée et manipulation des workflows et accès à des ressources sensibles, pouvant entraîner des violations de sécurité significatives.
states:UpdateStateMachine
& (pas toujours requis) iam:PassRole
Un attaquant avec la permission states:UpdateStateMachine
serait capable de modifier la définition d'une machine d'état, pouvant ajouter des états furtifs supplémentaires qui pourraient aboutir à une élévation de privilèges. De cette manière, lorsqu'un utilisateur légitime démarre une exécution de la machine d'état, ce nouvel état furtif malveillant sera exécuté et l'élévation de privilèges sera réussie.
Selon le niveau de permissivité du rôle IAM associé à la machine d'état, un attaquant serait confronté à 2 situations :
Rôle IAM permissif : Si le rôle IAM associé à la machine d'état est déjà permissif (il a par exemple la politique arn:aws:iam::aws:policy/AdministratorAccess
attachée), alors la permission iam:PassRole
ne serait pas requise pour élever les privilèges puisque ce ne serait pas nécessaire de mettre à jour le rôle IAM, la définition de la machine d'état suffisant.
Rôle IAM non permissif : Contrairement au cas précédent, ici un attaquant aurait également besoin de la permission iam:PassRole
car il serait nécessaire d'associer un rôle IAM permissif à la machine d'état en plus de modifier la définition de la machine d'état.
Les exemples suivants montrent comment mettre à jour une machine d'état légitime qui invoque simplement une fonction Lambda HelloWorld, afin d'ajouter un état supplémentaire qui ajoute l'utilisateur unprivilegedUser
au groupe IAM administrator
. De cette manière, lorsqu'un utilisateur légitime démarre une exécution de la machine d'état mise à jour, ce nouvel état furtif malveillant sera exécuté et l'escalade de privilèges sera réussie.
Si la machine d'état n'a pas de rôle IAM permissif associé, il serait également nécessaire d'avoir la permission iam:PassRole
pour mettre à jour le rôle IAM afin d'associer un rôle IAM permissif (par exemple, un avec la politique arn:aws:iam::aws:policy/AdministratorAccess
attachée).
Commande exécutée pour mettre à jour la machine d'état légitime :
Impact potentiel : Exécution non autorisée et manipulation de flux de travail et accès à des ressources sensibles, pouvant entraîner des violations de sécurité significatives.
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)