Hackers exploram o AWS STS para se infiltrar em contas na nuvem

Hackers exploram o AWS STS para se infiltrar em contas na nuvem.  Os atores de ameaças podem aproveitar o Amazon Web Services Security Token Service (AWS STS) como uma forma de se infiltrar em contas na nuvem e conduzir ataques subsequentes.

O serviço permite que os agentes de ameaças personifiquem identidades e funções de usuários em ambientes de nuvem, disseram os pesquisadores da Red Canary, Thomas Gardner e Cody Betsworth , em uma análise de terça-feira.

AWS STS é um serviço web que permite aos usuários solicitar credenciais temporárias e com privilégios limitados para acessar recursos da AWS sem a necessidade de criar uma identidade da AWS. Esses tokens STS podem ser válidos de 15 minutos a 36 horas .

Os agentes de ameaças podem roubar tokens IAM de longo prazo por meio de vários métodos, como infecções por malware, credenciais expostas publicamente e e-mails de phishing, posteriormente usando-os para determinar funções e privilégios associados a esses tokens por meio de chamadas de API.

Dependendo do nível de permissão do token, os adversários também podem usá-lo para criar usuários IAM adicionais com tokens AKIA de longo prazo para garantir a persistência no caso de seu token AKIA inicial e todos os tokens ASIA de curto prazo gerados serem descobertos. e revogada“, disse o pesquisador.

Na próxima etapa, um token STS autenticado por MFA é usado para criar vários novos tokens de curto prazo, seguido pela condução de ações pós-exploração, como exfiltração de dados.

Para mitigar esse abuso de token da AWS, é recomendado registrar dados de eventos do CloudTrail, detectar eventos de encadeamento de funções e abuso de MFA e alternar chaves de acesso de usuário do IAM de longo prazo.

O AWS STS é um controle de segurança crítico para limitar o uso de credenciais estáticas e a duração do acesso dos usuários em sua infraestrutura de nuvem”, disseram os pesquisadores.

No entanto, sob certas configurações de IAM que são comuns em muitas organizações, os adversários também podem criar e abusar desses tokens STS para acessar recursos da nuvem e realizar ações maliciosas”.

Fonte: The Hacker News

Veja também:

Sobre mindsecblog 2556 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!