AWS - EBS Privesc
EBS
ebs:ListSnapshotBlocks
, ebs:GetSnapshotBlock
, ec2:DescribeSnapshots
ebs:ListSnapshotBlocks
, ebs:GetSnapshotBlock
, ec2:DescribeSnapshots
これらの権限を持つ攻撃者は、ボリュームスナップショットをローカルでダウンロードして解析し、それらに含まれる機密情報(秘密情報やソースコードなど)を検索できます。これについては以下で詳細を確認してください:
AWS - EBS Snapshot Dump他の権限としては、ec2:DescribeInstances
, ec2:DescribeVolumes
, ec2:DeleteSnapshot
, ec2:CreateSnapshot
, ec2:CreateTags
なども役立つかもしれません。
ツールhttps://github.com/Static-Flow/CloudCopyは、この攻撃を実行してドメインコントローラーからパスワードを抽出します。
潜在的な影響: スナップショット内の機密情報を特定することによる間接的な特権昇格(Active Directoryのパスワードさえ取得できる可能性があります)。
ec2:CreateSnapshot
ec2:CreateSnapshot
EC2:CreateSnapshot
権限を持つ任意のAWSユーザーは、ドメインコントローラーのスナップショットを作成し、それを制御するインスタンスにマウントしてNTDS.ditとSYSTEMレジストリハイブファイルをImpacketのsecretsdumpプロジェクトで使用するためにエクスポートすることで、すべてのドメインユーザーのハッシュを盗むことができます。
この攻撃を自動化するためにこのツールを使用できます:https://github.com/Static-Flow/CloudCopy または、スナップショットを作成した後に以前のテクニックのいずれかを使用することもできます。
Last updated