KMS

Za više informacija pogledajte:

Dodeljivanje pristupa putem KMS politika

Napadač bi mogao koristiti dozvolu kms:PutKeyPolicy da dodeli pristup ključu korisniku pod svojom kontrolom ili čak spoljnom nalogu. Pogledajte KMS Privesc stranicu za više informacija.

Večna dodela

Dodele su još jedan način da se principalu dodele određene dozvole nad određenim ključem. Moguće je dati dodelu koja omogućava korisniku kreiranje dodela. Štaviše, korisnik može imati više dodela (čak i identičnih) nad istim ključem.

Stoga, moguće je da korisnik ima 10 dodela sa svim dozvolama. Napadač bi trebalo stalno da prati ovo. I ako u nekom trenutku bude uklonjena 1 dodela, trebalo bi generisati još 10.

(Koristimo 10, a ne 2 kako bismo mogli da detektujemo da je dodela uklonjena dok korisnik i dalje ima neke dodele)

# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>