AWS - Identity Center & SSO Unauthenticated Enum
AWS Gerätecode-Phishing
Ursprünglich vorgeschlagen in diesem Blog-Beitrag, ist es möglich, einem Benutzer über AWS SSO einen Link zu senden, der es dem Benutzer ermöglicht, wenn er akzeptiert, dass der Angreifer einen Token erhält, um den Benutzer zu imitieren und auf alle Rollen zuzugreifen, auf die der Benutzer im Identitätszentrum zugreifen kann.
Um diesen Angriff durchzuführen, sind folgende Voraussetzungen erforderlich:
Das Opfer muss das Identitätszentrum verwenden.
Der Angreifer muss das Subdomäne kennen, die vom Opfer verwendet wird
<victimsub>.awsapps.com/start
Nur mit diesen Informationen wird der Angreifer in der Lage sein, dem Benutzer einen Link zu senden, der, wenn akzeptiert, dem Angreifer Zugriff auf das AWS-Benutzerkonto gewährt.
Angriff
Ermitteln der Subdomäne
Der erste Schritt des Angreifers besteht darin, die Subdomäne des Opferunternehmens in ihrem Identitätszentrum herauszufinden. Dies kann über OSINT oder Raten + BF erfolgen, da die meisten Unternehmen hier ihren Namen oder eine Variation ihres Namens verwenden.
Mit diesen Informationen ist es möglich, die Region zu erhalten, in der das Identitätszentrum konfiguriert wurde:
Generieren Sie den Link für das Opfer & Senden Sie ihn
Führen Sie den folgenden Code aus, um einen AWS SSO-Anmelde-Link zu generieren, damit das Opfer sich authentifizieren kann. Für die Demonstration führen Sie diesen Code in einer Python-Konsole aus und beenden Sie sie nicht, da Sie später einige Objekte benötigen, um das Token zu erhalten:
Warten Sie, bis das Opfer es akzeptiert
Wenn das Opfer bereits bei AWS angemeldet war, muss es nur die Berechtigungen akzeptieren. Wenn nicht, muss es sich anmelden und dann die Berechtigungen akzeptieren. So sieht die Aufforderung heutzutage aus:
Holen Sie sich das SSO-Zugriffstoken
Wenn das Opfer die Aufforderung akzeptiert hat, führen Sie diesen Code aus, um ein SSO-Token zu generieren und sich als Benutzer auszugeben:
Das SSO-Zugriffstoken ist 8 Stunden lang gültig.
Benutzer impersonieren
Phishing des unphishbaren MFA
Es macht Spaß zu wissen, dass der vorherige Angriff auch funktioniert, wenn ein "unphishbarer MFA" (webAuth) verwendet wird. Dies liegt daran, dass der vorherige Workflow die verwendete OAuth-Domäne nie verlässt. Anders als bei anderen Phishing-Angriffen, bei denen der Benutzer die Login-Domäne ersetzen muss, ist im Fall des Gerätecode-Workflows ein Code von einem Gerät bekannt und der Benutzer kann sich sogar auf einem anderen Gerät anmelden. Wenn die Aufforderung akzeptiert wird, kann das Gerät nur durch Kenntnis des ursprünglichen Codes die Anmeldeinformationen für den Benutzer abrufen.
Für weitere Informationen dazu überprüfen Sie diesen Beitrag.
Automatische Tools
Referenzen
Last updated