:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Policy Validation erleichtert Erraten von Nutzern und Rollen Unit 42 nutzt AWS-APIs für Angriffe aus
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/c6/5fc61cfc11442/logo-palo.jpg "logo palo.jpg (Palo Alto)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
Per API-Aufruf können Angreifer unbemerkt Principals von AWS-Nutzern erspähen – und so Rückschlüsse auf Nutzer, Rollen sowie interne Firmenstrukturen ziehen. Das haben Forscher von Unit 42 bereits beim Red Teaming ausgenutzt.
Zahlreiche Schnittstellen der Amazon Web Services (AWS) sind offenbar gesprächiger als sie es sein sollten – das berichten die Forscher von Unit 42, einem zu Palo Alto Networks gehörende Global Threat Intelligence Team. Demnach könnten Angreifer unbemerkt die Nutzer und Rollen ausspähen und so Rückschlüsse auf interne Unternehmensstrukturen ziehen.
Der Grund hierfür liege im Backend von AWS, das proaktiv „resource-based Policies“ validiere, die mit Diensten wie S3 verbunden sind. Teil dieser Policys sei in der Regel auch der Eintrag Principal; das Feld spezifiziere, welche Nutzer oder Rollen auf Ressourcen zugreifen dürfen.
Wenn Angreifer nun „Resource Policies“ mit nicht existierenden Principals erstellen oder aktualisieren, liefert AWS eine Fehlermeldung – und bestätigt damit explizit auch, wenn bestimmte Nutzer nicht vorhanden sind. Durch systematisches Probieren ließen sich Nutzer und Rollen so gezielt erraten.
Und das falle Betroffenen noch nicht einmal auf, denn mit Policies könne auch den Zugriff auf Ressourcen anderer Konten geregelt werden. Logs und Fehlermeldungen von AWS CloudTrail tauchen dabei lediglich im Account des Resource Owners respektive Angreifers auf.
:quality(80)/p7i.vogel.de/wcms/1d/88/1d885d7f07be0ea7e35f0fc17f94892f/90158893.jpeg "Die Red Teams decken Lücken mit Charme, gefälschten Keycards und technischer Expertise auf. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 24
So funktioniert Red Teaming
In der Praxis will Unit 42 den Ansatz bereits bei einem Red Teaming im Frühjahr genutzt haben. In dessen Verlauf wurden dann allerdings auch Konfigurationsfehler von AWS-Anwendern ausgenutzt.
Bekanntes Muster
Die jetzt beschriebene Technik ähnelt einem bereits bekanntem Muster. Die Forscher von Unit 42 selbst verweisen in ihrem Bericht auf einen Blogbeitrag der Rhino Security Labs zum Missbrauchspotenzial der IAM role trust policy.
16 betroffene Dienste
Konkret angreifbar sind laut Unit 42 insgesamt 22 APIs von 16 verschiedenen AWS-Diensten. Details liefert die beigefügte Tabelle.
AWS Service | APIs for Updating Resource Policies (Python Boto3) | Exploitable API |
|---|---|---|
Yes | ||
No | ||
Yes | ||
No | ||
Yes | ||
Yes | ||
No | ||
Yes | ||
Yes | ||
No | ||
Policy principal need to be account number, OU, or organization | No | |
Yes | ||
Yes | ||
Yes | ||
No | ||
No | ||
Yes | ||
No | ||
No | ||
Yes | ||
Yes | ||
Yes | ||
Yes | ||
Yes | ||
No | ||
Yes |
Als generelle Sicherheitsmaßnahmen empfehlen die Forscher folgende Punkte:
- Nicht verwendete Nutzer und Rollen sollten entfernt werden, um die Angriffsfläche zu reduzieren.
- Zufällige, angehängte Zeichen erschweren es Angreifern, Rollen und Nutzernahmen zu erraten.
- Wer sich per Identity Provider und Federation einloggt, spart sich zusätzliche (potenziell angreifbare) User-Accounts.
- Authentifizierungsvorgänge sollten geloggt und überwacht werden.
- Für jeden Nutzer und jede Rolle sollte eine Zweifaktor-Authentifizierung eingerichtet werden.
(ID:46996515)
:quality(80)/p7i.vogel.de/wcms/93/17/9317d267541ee976360693c7c7ec267c/0114633338.jpeg "Die wichtigste Rolle beim API-Schutz fällt nach wie vor den Entwicklern zu, denn Security-Lösungen können immer nur ein beschränktes Spektrum an Sicherheitsproblemen lösen. (Bild: Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/67/cd67ad1f452fe520c600efe764c55aa1/0112150345.jpeg "Mit Constantin Gonzalez sprechen wir über gezielt gestörte Produktivsysteme, Brettspiele und KI. (Bild: Vogel IT-Medien)")