AWS - KMS Persistence
KMS
詳細については、以下をチェックしてください:
pageAWS - KMS EnumKMSポリシーを介してアクセスを許可
攻撃者は、kms:PutKeyPolicy
権限を使用して、自分がコントロールするユーザーまたは外部アカウントにキーへのアクセスを許可することができます。詳細については、KMS Privescページを確認してください。
永続的な許可
グラントは、特定のキーに対して主体にいくつかの権限を与える別の方法です。ユーザーにグラントを与え、ユーザーがグラントを作成できるようにすることが可能です。さらに、ユーザーは同じキーに対していくつかのグラント(同一のものも含む)を持つことができます。
したがって、ユーザーがすべての権限を持つ10のグラントを持つことが可能です。攻撃者はこれを常に監視する必要があります。そして、ある時点で1つのグラントが削除された場合、別の10個が生成されるべきです。
(ユーザーがまだいくつかのグラントを持っている間にグラントが削除されたことを検出できるように、10を使用しています。)
許可を与えることができるのは、こちらからのみです: https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations
最終更新