Hackers exploram o AWS STS para se infiltrar em contas na nuvem. Os atores de ameaças podem aproveitar o Amazon Web Services Security Token Service (AWS STS) como uma forma de se infiltrar em contas na nuvem e conduzir ataques subsequentes.
O serviço permite que os agentes de ameaças personifiquem identidades e funções de usuários em ambientes de nuvem, disseram os pesquisadores da Red Canary, Thomas Gardner e Cody Betsworth , em uma análise de terça-feira.
AWS STS é um serviço web que permite aos usuários solicitar credenciais temporárias e com privilégios limitados para acessar recursos da AWS sem a necessidade de criar uma identidade da AWS. Esses tokens STS podem ser válidos de 15 minutos a 36 horas .
Os agentes de ameaças podem roubar tokens IAM de longo prazo por meio de vários métodos, como infecções por malware, credenciais expostas publicamente e e-mails de phishing, posteriormente usando-os para determinar funções e privilégios associados a esses tokens por meio de chamadas de API.
“Dependendo do nível de permissão do token, os adversários também podem usá-lo para criar usuários IAM adicionais com tokens AKIA de longo prazo para garantir a persistência no caso de seu token AKIA inicial e todos os tokens ASIA de curto prazo gerados serem descobertos. e revogada“, disse o pesquisador.
Na próxima etapa, um token STS autenticado por MFA é usado para criar vários novos tokens de curto prazo, seguido pela condução de ações pós-exploração, como exfiltração de dados.
Para mitigar esse abuso de token da AWS, é recomendado registrar dados de eventos do CloudTrail, detectar eventos de encadeamento de funções e abuso de MFA e alternar chaves de acesso de usuário do IAM de longo prazo.
“O AWS STS é um controle de segurança crítico para limitar o uso de credenciais estáticas e a duração do acesso dos usuários em sua infraestrutura de nuvem”, disseram os pesquisadores.
“No entanto, sob certas configurações de IAM que são comuns em muitas organizações, os adversários também podem criar e abusar desses tokens STS para acessar recursos da nuvem e realizar ações maliciosas”.
Fonte: The Hacker News
Veja também:
- O que esperar da cibersegurança em 2024?
- O diferencial dos profissionais de tecnologia no combate às ameaças cibernéticas
- Segurança da informação em TVs de setores públicos e privados?
- Educação é o setor com mais credenciais vazadas em 2023
- Explorando as profundezas da internet: Diferenciando Deep Web e Dark Web
- Você estuda ou trabalha? Novas campanhas de phishing agora usam e-mails de estudantes
- Em tempos de AIoT, opte por soluções desenvolvidas com segurança
- Falhas nos sensores de digital permitem ignorem o login do Windows Hello
- Novo carregador de malware WailingCrab se espalhando por e-mails com tema de envio
- Como reduzir o risco de Phishing com Firewall DNS?
- Netskope alerta para malware em apps durante as compras de fim de ano
- Brasil permanece na lista dos países mais atacados por malware
Deixe sua opinião!