AWS - KMS Persistence
KMS
Pour plus d'informations, consultez :
pageAWS - KMS EnumAccorder l'accès via les politiques KMS
Un attaquant pourrait utiliser l'autorisation kms:PutKeyPolicy
pour donner accès à une clé à un utilisateur sous son contrôle ou même à un compte externe. Consultez la page de Privilège d'élévation KMS pour plus d'informations.
Autorisation éternelle
Les autorisations sont un autre moyen de donner à un principal certaines autorisations sur une clé spécifique. Il est possible de donner une autorisation permettant à un utilisateur de créer des autorisations. De plus, un utilisateur peut avoir plusieurs autorisations (même identiques) sur la même clé.
Par conséquent, il est possible pour un utilisateur d'avoir 10 autorisations avec toutes les permissions. L'attaquant devrait surveiller cela constamment. Et si à un moment donné une autorisation est supprimée, 10 autres devraient être générées.
(Nous utilisons 10 et non 2 pour pouvoir détecter qu'une autorisation a été supprimée alors que l'utilisateur a toujours certaines autorisations)
Une autorisation peut donner des permissions uniquement à partir de ceci : https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations
Dernière mise à jour