AWS - KMS Persistence
KMS
Para mais informações, consulte:
pageAWS - KMS EnumConceder acesso via políticas do KMS
Um atacante poderia usar a permissão kms:PutKeyPolicy
para dar acesso a uma chave a um usuário sob seu controle ou até mesmo a uma conta externa. Consulte a página de Privilégio de Escalação do KMS para mais informações.
Concessão Eterna
Concessões são outra maneira de conceder a um principal algumas permissões sobre uma chave específica. É possível conceder uma concessão que permite a um usuário criar concessões. Além disso, um usuário pode ter várias concessões (mesmo idênticas) sobre a mesma chave.
Portanto, é possível para um usuário ter 10 concessões com todas as permissões. O atacante deve monitorar isso constantemente. E se em algum momento 1 concessão for removida, outras 10 devem ser geradas.
(Estamos usando 10 e não 2 para ser capaz de detectar que uma concessão foi removida enquanto o usuário ainda tem algumas concessões)
Uma concessão pode conceder permissões apenas a partir disso: https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations
Última actualización