AWS - KMS Persistence

KMS

Kwa maelezo zaidi angalia:

Grant acces via KMS policies

Mshambuliaji anaweza kutumia ruhusa kms:PutKeyPolicy ili kutoa ufikiaji kwa funguo kwa mtumiaji chini ya udhibiti wake au hata kwa akaunti ya nje. Angalia KMS Privesc page kwa maelezo zaidi.

Eternal Grant

Grants ni njia nyingine ya kutoa ruhusa kwa kiongozi juu ya funguo maalum. Inawezekana kutoa grant inayomruhusu mtumiaji kuunda grants. Zaidi ya hayo, mtumiaji anaweza kuwa na grants kadhaa (hata sawa) juu ya funguo hiyo hiyo.

Hivyo, inawezekana kwa mtumiaji kuwa na grants 10 zikiwa na ruhusa zote. Mshambuliaji anapaswa kufuatilia hili mara kwa mara. Na ikiwa kwa wakati fulani grant 1 itatolewa, nyingine 10 zinapaswa kuundwa.

(Tunatumia 10 na si 2 ili kuweza kugundua kwamba grant iliondolewa wakati mtumiaji bado ana baadhi ya grant)

# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>