AWS - Identity Center & SSO Unauthenticated Enum
Phishing de code de dispositif AWS
Initialement proposé dans cet article de blog, il est possible d'envoyer un lien à un utilisateur utilisant AWS SSO qui, si le utilisateur accepte, permettra à l'attaquant d'obtenir un jeton pour usurper l'identité de l'utilisateur et accéder à tous les rôles auxquels l'utilisateur peut accéder dans le Centre d'identité.
Pour réaliser cette attaque, les prérequis sont :
La victime doit utiliser le Centre d'identité
L'attaquant doit connaître le sous-domaine utilisé par la victime
<victimsub>.awsapps.com/start
Avec juste les informations précédentes, l'attaquant pourra envoyer un lien à l'utilisateur qui, s'il est accepté, accordera à l'attaquant l'accès au compte utilisateur AWS.
Attaque
Trouver le sous-domaine
La première étape de l'attaquant est de découvrir le sous-domaine que l'entreprise de la victime utilise dans leur Centre d'identité. Cela peut être fait via OSINT ou devinette + BF car la plupart des entreprises utiliseront leur nom ou une variation de leur nom ici.
Avec cette info, il est possible d'obtenir la région où le Centre d'identité a été configuré :
Générez le lien pour la victime & Envoyez-le
Exécutez le code suivant pour générer un lien de connexion AWS SSO afin que la victime puisse s'authentifier. Pour la démonstration, exécutez ce code dans une console python et ne la quittez pas car vous aurez besoin de certains objets pour obtenir le token :
Envoyez le lien généré à la victime en utilisant vos incroyables compétences en ingénierie sociale !
Attendez que la victime l'accepte
Si la victime était déjà connectée à AWS, elle n'aura qu'à accepter l'octroi des permissions, si elle ne l'était pas, elle devra se connecter puis accepter l'octroi des permissions. Voici à quoi ressemble l'invite de nos jours :
Obtenez le jeton d'accès SSO
Si la victime a accepté l'invite, exécutez ce code pour générer un jeton SSO en usurpant l'utilisateur :
Le jeton d'accès SSO est valide pendant 8h.
Imiter l'utilisateur
Phishing le MFA impénétrable
C'est amusant de savoir que l'attaque précédente fonctionne même si un "MFA impénétrable" (webAuth) est utilisé. Cela est dû au fait que le flux de travail précédent ne quitte jamais le domaine OAuth utilisé. Contrairement à d'autres attaques de phishing où l'utilisateur doit supplanter le domaine de connexion, dans le cas où le flux de code de dispositif est préparé, un code est connu par un dispositif et l'utilisateur peut se connecter même sur une machine différente. Si le prompt est accepté, le dispositif, simplement en connaissant le code initial, sera capable de récupérer les identifiants pour l'utilisateur.
Pour plus d'infos à ce sujet, consultez ce post.
Outils Automatiques
Références
Last updated