AWS - STS Privesc
STS
sts:AssumeRole
sts:AssumeRole
Кожна роль створюється з політикою довіри ролі, яка вказує хто може припускати створену роль. Якщо роль з того ж облікового запису вказує, що обліковий запис може її припускати, це означає, що обліковий запис зможе отримати доступ до ролі (і, можливо, підвищити привілеї).
Наприклад, наступна політика довіри ролі показує, що будь-хто може її припускати, тому будь-який користувач зможе підвищити привілеї до дозволів, пов'язаних з цією роллю.
Ви можете видаавати себе за роль, запустивши:
Потенційний вплив: Підвищення привілеїв до ролі.
Зверніть увагу, що у цьому випадку дозвіл sts:AssumeRole
повинен бути вказаний у ролі для зловживання, а не в політиці, що належить зловмиснику.
З одним винятком, для того щоб припустити роль з іншого облікового запису, обліковий запис зловмисника також повинен мати sts:AssumeRole
над роллю.
sts:AssumeRoleWithSAML
sts:AssumeRoleWithSAML
Довіркова політика з цією роллю надає користувачам, які були автентифіковані через SAML, доступ до імітації ролі.
Приклад довіркової політики з цим дозволом:
Для генерації облікових даних для підроблення ролі загалом ви можете використовувати щось на зразок:
Але постачальники можуть мати свої власні інструменти, щоб зробити це простіше, наприклад onelogin-aws-assume-role:
Потенційний вплив: Підвищення привілеїв до ролі.
sts:AssumeRoleWithWebIdentity
sts:AssumeRoleWithWebIdentity
Ця дозвіл надає можливість отримати набір тимчасових облікових даних для користувачів, які були автентифіковані в мобільному, веб-додатку, EKS... з постачальником ідентичності веб-сервісу. Дізнайтеся більше тут.
Наприклад, якщо обліковий запис служби EKS повинен мати можливість імітувати роль IAM, у нього буде токен у /var/run/secrets/eks.amazonaws.com/serviceaccount/token
і може припустити роль та отримати облікові дані, виконавши щось на зразок:
Зловживання федерацією
Last updated