AWS - KMS Persistence

KMS

Dla więcej informacji sprawdź:

Udzielanie dostępu za pomocą polityk KMS

Atakujący mógłby użyć uprawnienia kms:PutKeyPolicy aby udzielić dostępu do klucza użytkownikowi pod swoją kontrolą lub nawet zewnętrznemu kontu. Sprawdź stronę Privesc KMS po więcej informacji.

Wieczne Udzielenie

Granty są innym sposobem, aby nadać pewnemu podmiotowi pewne uprawnienia do konkretnego klucza. Możliwe jest udzielenie grantu, który pozwala użytkownikowi na tworzenie grantów. Ponadto, użytkownik może mieć kilka grantów (nawet identycznych) do tego samego klucza.

Dlatego możliwe jest, że użytkownik ma 10 grantów ze wszystkimi uprawnieniami. Atakujący powinien stale monitorować to. Jeśli w pewnym momencie zostanie usunięty 1 grant, powinno zostać wygenerowanych kolejne 10.

(Używamy liczby 10, a nie 2, aby móc wykryć, że grant został usunięty, podczas gdy użytkownik nadal ma pewne granty)

# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>