AWS - KMS Post Exploitation
KMS
Pour plus d'informations, consultez :
pageAWS - KMS EnumChiffrer/Déchiffrer des informations
Utilisation d'une clé symétrique
Utilisation d'une clé asymétrique :
Rançongiciel KMS
Un attaquant ayant un accès privilégié sur KMS pourrait modifier la politique KMS des clés et accorder à son compte l'accès à ces clés, supprimant ainsi l'accès accordé au compte légitime.
Ensuite, les utilisateurs du compte légitime ne pourront pas accéder à toutes les informations de tout service qui a été chiffré avec ces clés, créant ainsi un rançongiciel simple mais efficace sur le compte.
Notez que les clés gérées par AWS ne sont pas affectées par cette attaque, seules les clés gérées par le client le sont.
Notez également la nécessité d'utiliser le paramètre --bypass-policy-lockout-safety-check
(l'absence de cette option dans la console Web rend cette attaque possible uniquement depuis l'interface en ligne de commande).
Notez que si vous modifiez cette politique et donnez uniquement accès à un compte externe, puis à partir de ce compte externe vous essayez de définir une nouvelle politique pour redonner l'accès au compte d'origine, vous ne pourrez pas le faire.
Rançongiciel KMS Générique
Rançongiciel KMS Global
Il existe une autre façon d'effectuer un rançongiciel KMS global, qui impliquerait les étapes suivantes :
Créer une nouvelle clé avec un matériel de clé importé par l'attaquant
Ré-encrypter les anciennes données chiffrées avec la version précédente avec la nouvelle.
Supprimer la clé KMS
Maintenant, seul l'attaquant, qui possède le matériel de clé d'origine, pourrait être en mesure de décrypter les données chiffrées
Détruire les clés
Notez qu'AWS empêche désormais les actions précédentes d'être effectuées à partir d'un compte externe :
Dernière mise à jour