KMS

Kwa habari zaidi angalia:

Kutoa Ufikivu kupitia Sera za KMS

Mshambuliaji anaweza kutumia ruhusa kms:PutKeyPolicy kutoa ufikivu kwa funguo kwa mtumiaji chini ya udhibiti wake au hata kwa akaunti ya nje. Angalia Kurasa za KMS Privesc kwa habari zaidi.

Utoaji wa Milele

Mitoa ni njia nyingine ya kumpa mwakilishi baadhi ya ruhusa juu ya funguo maalum. Inawezekana kumpa mtoaji ruhusa ambayo inamruhusu mtumiaji kuunda mitoaji. Zaidi ya hayo, mtumiaji anaweza kuwa na mitoaji kadhaa (hata ile ile) juu ya funguo moja.

Hivyo, inawezekana kwa mtumiaji kuwa na mitoaji 10 yenye ruhusa zote. Mshambuliaji anapaswa kufuatilia hii kwa ukaribu. Na ikiwa wakati fulani mtoaji 1 anatolewa basi mitoaji mingine 10 inapaswa kuundwa.

(Tunatumia 10 na sio 2 ili kuweza kugundua kwamba mtoaji aliondolewa wakati mtumiaji bado ana mitoaji fulani)

# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>