AWS - EBS Privesc
EBS
ebs:ListSnapshotBlocks
, ebs:GetSnapshotBlock
, ec2:DescribeSnapshots
ebs:ListSnapshotBlocks
, ebs:GetSnapshotBlock
, ec2:DescribeSnapshots
これらの権限を持つ攻撃者は、ボリュームスナップショットをローカルでダウンロードして解析し、それらに含まれる機密情報(秘密情報やソースコードなど)を検索できる可能性があります。これを行う方法は次のとおりです:
pageAWS - EBS Snapshot Dump他の権限としては、ec2:DescribeInstances
, ec2:DescribeVolumes
, ec2:DeleteSnapshot
, ec2:CreateSnapshot
, ec2:CreateTags
なども役立つかもしれません。
ツールhttps://github.com/Static-Flow/CloudCopyは、この攻撃を実行してドメインコントローラーからパスワードを抽出します。
潜在的な影響: スナップショット内の機密情報を特定することによる間接的な権限昇格(Active Directoryのパスワードさえ取得できる可能性があります)。
ec2:CreateSnapshot
ec2:CreateSnapshot
EC2:CreateSnapshot
権限を持つ任意のAWSユーザーは、ドメインコントローラーのスナップショットを作成し、それを制御するインスタンスにマウントして、Impacketのsecretsdumpプロジェクトで使用するためにNTDS.ditおよびSYSTEMレジストリハイブファイルをエクスポートすることで、すべてのドメインユーザーのハッシュを盗むことができます。
この攻撃を自動化するためにこのツールを使用できます:https://github.com/Static-Flow/CloudCopy または、スナップショットを作成した後に以前の技術の1つを使用することもできます。
最終更新