AWS - KMS Persistence

KMS

Aby uzyskać więcej informacji, sprawdź:

Przyznawanie dostępu za pomocą polityk KMS

Napastnik mógłby użyć uprawnienia kms:PutKeyPolicy do przyznania dostępu do klucza użytkownikowi pod jego kontrolą lub nawet do zewnętrznego konta. Sprawdź stronę KMS Privesc po więcej informacji.

Wieczne Przyznanie

Przyznania to inny sposób na nadanie podmiotowi pewnych uprawnień do konkretnego klucza. Możliwe jest przyznanie uprawnienia, które pozwala użytkownikowi tworzyć przyznania. Co więcej, użytkownik może mieć kilka przyznań (nawet identycznych) do tego samego klucza.

Dlatego możliwe jest, aby użytkownik miał 10 przyznań ze wszystkimi uprawnieniami. Napastnik powinien to stale monitorować. A jeśli w pewnym momencie 1 przyznanie zostanie usunięte, powinno zostać wygenerowane kolejne 10.

(Używamy 10, a nie 2, aby móc wykryć, że przyznanie zostało usunięte, podczas gdy użytkownik nadal ma jakieś przyznanie)

# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>