AWS - Cognito Persistence

Cognito

Para más información, accede a:

Persistencia de usuario

Cognito es un servicio que permite asignar roles a usuarios no autenticados y autenticados, y controlar un directorio de usuarios. Varias configuraciones diferentes pueden ser modificadas para mantener cierta persistencia, como:

• Agregar un grupo de usuarios controlado por el usuario a un grupo de identidades

• Dar un rol IAM a un grupo de identidades no autenticadas y permitir el flujo de autenticación básico

• O a un grupo de identidades autenticadas si el atacante puede iniciar sesión

• O mejorar los permisos de los roles dados

• Crear, verificar y elevar privilegios a través de usuarios controlados por atributos o nuevos usuarios en un grupo de usuarios

• Permitir a proveedores de identidad externos iniciar sesión en un grupo de usuarios o en un grupo de identidades

Consulta cómo realizar estas acciones en

cognito-idp:SetRiskConfiguration

Un atacante con este privilegio podría modificar la configuración de riesgo para poder iniciar sesión como un usuario de Cognito sin que se activen alarmas. Consulta la interfaz de línea de comandos para ver todas las opciones:

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

De forma predeterminada, esto está deshabilitado: