Cognito

Para mais informações, acesse:

Persistência do Usuário

O Cognito é um serviço que permite atribuir funções a usuários não autenticados e autenticados e controlar um diretório de usuários. Várias configurações diferentes podem ser alteradas para manter alguma persistência, como:

• Adicionar um Pool de Usuários controlado pelo usuário a um Pool de Identidade

• Dar uma função IAM a um Pool de Identidade não autenticado e permitir o fluxo de autenticação básica

• Ou a um Pool de Identidade autenticado se o atacante puder fazer login

• Ou melhorar as permissões das funções fornecidas

• Criar, verificar e elevar privilégios por meio de usuários controlados por atributos ou novos usuários em um Pool de Usuários

• Permitir que Provedores de Identidade externos façam login em um Pool de Usuários ou em um Pool de Identidade

Verifique como realizar essas ações em

cognito-idp:SetRiskConfiguration

Um atacante com esse privilégio poderia modificar a configuração de risco para poder fazer login como um usuário do Cognito sem acionar alarmes. Confira o cli para verificar todas as opções:

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

Por padrão, isso está desativado: