Suchen

Policy Validation erleichtert Erraten von Nutzern und Rollen Unit 42 nutzt AWS-APIs für Angriffe aus

Autor / Redakteur: M.A. Dirk Srocke / Peter Schmitz

Per API-Aufruf können Angreifer unbemerkt Principals von AWS-Nutzern erspähen – und so Rückschlüsse auf Nutzer, Rollen sowie interne Firmenstrukturen ziehen. Das haben Forscher von Unit 42 bereits beim Red Teaming ausgenutzt.

Firmen zum Thema

Resource Policies mit nicht existierenden Principals liefern verräterrische Fehlermeldungen.
Resource Policies mit nicht existierenden Principals liefern verräterrische Fehlermeldungen.
(Bild: Unit 42)

Zahlreiche Schnittstellen der Amazon Web Services (AWS) sind offenbar gesprächiger als sie es sein sollten – das berichten die Forscher von Unit 42, einem zu Palo Alto Networks gehörende Global Threat Intelligence Team. Demnach könnten Angreifer unbemerkt die Nutzer und Rollen ausspähen und so Rückschlüsse auf interne Unternehmensstrukturen ziehen.

Der Grund hierfür liege im Backend von AWS, das proaktiv „resource-based Policies“ validiere, die mit Diensten wie S3 verbunden sind. Teil dieser Policys sei in der Regel auch der Eintrag Principal; das Feld spezifiziere, welche Nutzer oder Rollen auf Ressourcen zugreifen dürfen.

Wenn Angreifer nun „Resource Policies“ mit nicht existierenden Principals erstellen oder aktualisieren, liefert AWS eine Fehlermeldung – und bestätigt damit explizit auch, wenn bestimmte Nutzer nicht vorhanden sind. Durch systematisches Probieren ließen sich Nutzer und Rollen so gezielt erraten.

Und das falle Betroffenen noch nicht einmal auf, denn mit Policies könne auch den Zugriff auf Ressourcen anderer Konten geregelt werden. Logs und Fehlermeldungen von AWS CloudTrail tauchen dabei lediglich im Account des Resource Owners respektive Angreifers auf.

In der Praxis will Unit 42 den Ansatz bereits bei einem Red Teaming im Frühjahr genutzt haben. In dessen Verlauf wurden dann allerdings auch Konfigurationsfehler von AWS-Anwendern ausgenutzt.

Bekanntes Muster

Die jetzt beschriebene Technik ähnelt einem bereits bekanntem Muster. Die Forscher von Unit 42 selbst verweisen in ihrem Bericht auf einen Blogbeitrag der Rhino Security Labs zum Missbrauchspotenzial der IAM role trust policy.

16 betroffene Dienste

Konkret angreifbar sind laut Unit 42 insgesamt 22 APIs von 16 verschiedenen AWS-Diensten. Details liefert die beigefügte Tabelle.

Als generelle Sicherheitsmaßnahmen empfehlen die Forscher folgende Punkte:

  • Nicht verwendete Nutzer und Rollen sollten entfernt werden, um die Angriffsfläche zu reduzieren.
  • Zufällige, angehängte Zeichen erschweren es Angreifern, Rollen und Nutzernahmen zu erraten.
  • Wer sich per Identity Provider und Federation einloggt, spart sich zusätzliche (potenziell angreifbare) User-Accounts.
  • Authentifizierungsvorgänge sollten geloggt und überwacht werden.
  • Für jeden Nutzer und jede Rolle sollte eine Zweifaktor-Authentifizierung eingerichtet werden.

(ID:46996515)

Über den Autor