diff --git a/src/SUMMARY.md b/src/SUMMARY.md index 1056403e4..478e28676 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -292,6 +292,7 @@ - [AWS - KMS Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-kms-privesc.md) - [AWS - Lambda Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-lambda-privesc.md) - [AWS - Lightsail Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-lightsail-privesc.md) + - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md) - [AWS - Mediapackage Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-mediapackage-privesc.md) - [AWS - MQ Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-mq-privesc.md) - [AWS - MSK Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-msk-privesc.md) @@ -320,7 +321,6 @@ - [AWS - Firewall Manager Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-firewall-manager-enum.md) - [AWS - GuardDuty Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-guardduty-enum.md) - [AWS - Inspector Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-inspector-enum.md) - - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md) - [AWS - Security Hub Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-security-hub-enum.md) - [AWS - Shield Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-shield-enum.md) - [AWS - Trusted Advisor Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-trusted-advisor-enum.md) @@ -354,6 +354,7 @@ - [AWS - KMS Enum](pentesting-cloud/aws-security/aws-services/aws-kms-enum.md) - [AWS - Lambda Enum](pentesting-cloud/aws-security/aws-services/aws-lambda-enum.md) - [AWS - Lightsail Enum](pentesting-cloud/aws-security/aws-services/aws-lightsail-enum.md) + - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-services/aws-macie-enum.md) - [AWS - MQ Enum](pentesting-cloud/aws-security/aws-services/aws-mq-enum.md) - [AWS - MSK Enum](pentesting-cloud/aws-security/aws-services/aws-msk-enum.md) - [AWS - Organizations Enum](pentesting-cloud/aws-security/aws-services/aws-organizations-enum.md) @@ -399,6 +400,7 @@ - [Az - Tokens & Public Applications](pentesting-cloud/azure-security/az-basic-information/az-tokens-and-public-applications.md) - [Az - Enumeration Tools](pentesting-cloud/azure-security/az-enumeration-tools.md) - [Az - Unauthenticated Enum & Initial Entry](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/README.md) + - [Az - Container Registry Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-container-registry-unauth.md) - [Az - OAuth Apps Phishing](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-oauth-apps-phishing.md) - [Az - Storage Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-storage-unauth.md) - [Az - VMs Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-vms-unauth.md) @@ -413,7 +415,7 @@ - [Az - Azure App Services](pentesting-cloud/azure-security/az-services/az-app-services.md) - [Az - Cloud Shell](pentesting-cloud/azure-security/az-services/az-cloud-shell.md) - [Az - Container Registry](pentesting-cloud/azure-security/az-services/az-container-registry.md) - - [Az - Container Registry](pentesting-cloud/azure-security/az-services/az-container-instances.md) + - [Az - Container Instances](pentesting-cloud/azure-security/az-services/az-container-instances.md) - [Az - CosmosDB](pentesting-cloud/azure-security/az-services/az-cosmosDB.md) - [Az - Intune](pentesting-cloud/azure-security/az-services/intune.md) - [Az - File Shares](pentesting-cloud/azure-security/az-services/az-file-shares.md) diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md index 78e57b07e..7e5cab6c8 100644 --- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md +++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md @@ -1,12 +1,24 @@ -# Amazon Macie - Umgehung der Integritätsprüfung `Reveal Sample` +# AWS - Macie Privesc -AWS Macie ist ein Sicherheitsdienst, der automatisch sensible Daten innerhalb von AWS-Umgebungen erkennt, wie z.B. Anmeldeinformationen, personenbezogene Daten (PII) und andere vertrauliche Daten. Wenn Macie eine sensible Anmeldeinformation identifiziert, wie z.B. einen in einem S3-Bucket gespeicherten AWS-Geheimschlüssel, wird ein Fund generiert, der es dem Eigentümer ermöglicht, eine "Probe" der erkannten Daten anzuzeigen. Typischerweise wird erwartet, dass der Geheimschlüssel nicht mehr abgerufen werden kann, sobald die sensible Datei aus dem S3-Bucket entfernt wurde. +{{#include ../../../banners/hacktricks-training.md}} -Allerdings wurde eine **Umgehung** identifiziert, bei der ein Angreifer mit ausreichenden Berechtigungen eine Datei mit demselben Namen **wieder hochladen kann**, die jedoch unterschiedliche, nicht sensible Dummy-Daten enthält. Dies führt dazu, dass Macie die neu hochgeladene Datei mit dem ursprünglichen Fund verknüpft, wodurch der Angreifer die **"Reveal Sample"-Funktion** nutzen kann, um das zuvor erkannte Geheimnis zu extrahieren. Dieses Problem stellt ein erhebliches Sicherheitsrisiko dar, da Geheimnisse, von denen angenommen wurde, dass sie gelöscht wurden, durch diese Methode weiterhin abgerufen werden können. +## Macie - +Für weitere Informationen über Macie siehe: -## Schritte zur Reproduktion: +{{#ref}} +../aws-services/aws-macie-enum.md +{{#endref}} + +### Amazon Macie - Umgehung der Integritätsprüfung `Reveal Sample` + +AWS Macie ist ein Sicherheitsdienst, der automatisch sensible Daten innerhalb von AWS-Umgebungen erkennt, wie z.B. Anmeldeinformationen, personenbezogene Daten (PII) und andere vertrauliche Daten. Wenn Macie eine sensible Anmeldeinformation identifiziert, wie z.B. einen AWS-Geheimschlüssel, der in einem S3-Bucket gespeichert ist, wird ein Fund generiert, der es dem Eigentümer ermöglicht, eine "Probe" der erkannten Daten anzuzeigen. Typischerweise wird erwartet, dass der Geheimschlüssel nicht mehr abgerufen werden kann, sobald die sensible Datei aus dem S3-Bucket entfernt wurde. + +Allerdings wurde eine **Umgehung** identifiziert, bei der ein Angreifer mit ausreichenden Berechtigungen eine **Datei mit demselben Namen** erneut hochladen kann, die jedoch andere, nicht sensible Dummy-Daten enthält. Dies führt dazu, dass Macie die neu hochgeladene Datei mit dem ursprünglichen Fund verknüpft, wodurch der Angreifer die **"Reveal Sample"-Funktion** nutzen kann, um das zuvor erkannte Geheimnis zu extrahieren. Dieses Problem stellt ein erhebliches Sicherheitsrisiko dar, da Geheimnisse, von denen angenommen wurde, dass sie gelöscht wurden, durch diese Methode weiterhin abgerufen werden können. + +![flow](https://github.com/user-attachments/assets/7b83f2d3-1690-41f1-98cc-05ccd0154a66) + +**Schritte zur Reproduktion:** 1. Laden Sie eine Datei (z.B. `test-secret.txt`) in einen S3-Bucket mit sensiblen Daten, wie z.B. einem AWS-Geheimschlüssel, hoch. Warten Sie, bis AWS Macie scannt und einen Fund generiert. @@ -14,12 +26,12 @@ Allerdings wurde eine **Umgehung** identifiziert, bei der ein Angreifer mit ausr 3. Löschen Sie `test-secret.txt` aus dem S3-Bucket und vergewissern Sie sich, dass es nicht mehr existiert. -4. Erstellen Sie eine neue Datei mit dem Namen `test-secret.txt` mit Dummy-Daten und laden Sie sie mit dem **Konto des Angreifers** erneut in denselben S3-Bucket hoch. +4. Erstellen Sie eine neue Datei mit dem Namen `test-secret.txt` mit Dummy-Daten und laden Sie sie erneut in denselben S3-Bucket mit dem **Konto des Angreifers** hoch. 5. Kehren Sie zu den AWS Macie Findings zurück, greifen Sie auf den ursprünglichen Fund zu und klicken Sie erneut auf **Reveal Sample**. -6. Beobachten Sie, dass Macie das ursprüngliche Geheimnis weiterhin offenbart, obwohl die Datei gelöscht und durch unterschiedliche Inhalte **von verschiedenen Konten, in unserem Fall dem Konto des Angreifers, ersetzt wurde**. +6. Beobachten Sie, dass Macie das ursprüngliche Geheimnis weiterhin offenbart, obwohl die Datei gelöscht und durch andere Inhalte **aus anderen Konten, in unserem Fall dem Konto des Angreifers, ersetzt wurde**. -## Zusammenfassung: +**Zusammenfassung:** Diese Schwachstelle ermöglicht es einem Angreifer mit ausreichenden AWS IAM-Berechtigungen, zuvor erkannte Geheimnisse wiederherzustellen, selbst nachdem die ursprüngliche Datei aus S3 gelöscht wurde. Wenn ein AWS-Geheimschlüssel, ein Zugriffstoken oder eine andere sensible Anmeldeinformation offengelegt wird, könnte ein Angreifer diese Schwachstelle ausnutzen, um sie abzurufen und unbefugten Zugriff auf AWS-Ressourcen zu erlangen. Dies könnte zu einer Privilegieneskalation, unbefugtem Datenzugriff oder einer weiteren Kompromittierung von Cloud-Ressourcen führen, was zu Datenverletzungen und Dienstunterbrechungen führen kann. diff --git a/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md b/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md deleted file mode 100644 index 42059943f..000000000 --- a/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md +++ /dev/null @@ -1,116 +0,0 @@ -# AWS - Macie Enum - -## AWS - Macie Enum - -{{#include ../../../../banners/hacktricks-training.md}} - -## Macie - -Amazon Macie hebt sich als ein Dienst hervor, der **automatisch Daten innerhalb eines AWS-Kontos erkennen, klassifizieren und identifizieren** kann. Er nutzt **maschinelles Lernen**, um Daten kontinuierlich zu überwachen und zu analysieren, wobei der Schwerpunkt auf der Erkennung und Alarmierung bei ungewöhnlichen oder verdächtigen Aktivitäten liegt, indem **CloudTrail-Ereignisdaten** und Benutzerverhaltensmuster untersucht werden. - -Wichtige Funktionen von Amazon Macie: - -1. **Aktive Datenüberprüfung**: Nutzt maschinelles Lernen, um Daten aktiv zu überprüfen, während verschiedene Aktionen innerhalb des AWS-Kontos stattfinden. -2. **Anomalieerkennung**: Identifiziert unregelmäßige Aktivitäten oder Zugriffsverhalten und generiert Alarme, um potenzielle Risiken der Datenexposition zu mindern. -3. **Kontinuierliche Überwachung**: Überwacht und erkennt automatisch neue Daten in Amazon S3 und verwendet maschinelles Lernen und künstliche Intelligenz, um sich im Laufe der Zeit an Zugriffsverhalten anzupassen. -4. **Datenklassifizierung mit NLP**: Nutzt die Verarbeitung natürlicher Sprache (NLP), um verschiedene Datentypen zu klassifizieren und zu interpretieren, wobei Risikopunkte zugewiesen werden, um Ergebnisse zu priorisieren. -5. **Sicherheitsüberwachung**: Identifiziert sicherheitsrelevante Daten, einschließlich API-Schlüssel, geheimer Schlüssel und persönlicher Informationen, um Datenlecks zu verhindern. - -Amazon Macie ist ein **regionaler Dienst** und erfordert die IAM-Rolle 'AWSMacieServiceCustomerSetupRole' sowie einen aktivierten AWS CloudTrail für die Funktionalität. - -### Alarmsystem - -Macie kategorisiert Alarme in vordefinierte Kategorien wie: - -- Anonymisierter Zugriff -- Datenkonformität -- Verlust von Anmeldeinformationen -- Privilegieneskalation -- Ransomware -- Verdächtiger Zugriff usw. - -Diese Alarme bieten detaillierte Beschreibungen und Ergebnisanalysen für eine effektive Reaktion und Lösung. - -### Dashboard-Funktionen - -Das Dashboard kategorisiert Daten in verschiedene Abschnitte, einschließlich: - -- S3-Objekte (nach Zeitbereich, ACL, PII) -- Hochrisiko-CloudTrail-Ereignisse/-Benutzer -- Aktivitätsstandorte -- CloudTrail-Benutzeridentitätstypen und mehr. - -### Benutzerkategorisierung - -Benutzer werden basierend auf dem Risikoniveau ihrer API-Aufrufe in Stufen eingeteilt: - -- **Platin**: Hochrisiko-API-Aufrufe, oft mit Administratorrechten. -- **Gold**: Infrastrukturbezogene API-Aufrufe. -- **Silber**: Mittelrisiko-API-Aufrufe. -- **Bronze**: Niedrigrisiko-API-Aufrufe. - -### Identitätstypen - -Identitätstypen umfassen Root, IAM-Benutzer, Angenommene Rolle, Föderierter Benutzer, AWS-Konto und AWS-Dienst, die die Quelle der Anfragen anzeigen. - -### Datenklassifizierung - -Die Datenklassifizierung umfasst: - -- Inhaltstyp: Basierend auf dem erkannten Inhaltstyp. -- Dateierweiterung: Basierend auf der Dateierweiterung. -- Thema: Kategorisiert nach Schlüsselwörtern innerhalb von Dateien. -- Regex: Kategorisiert basierend auf spezifischen Regex-Mustern. - -Das höchste Risiko unter diesen Kategorien bestimmt das endgültige Risikoniveau der Datei. - -### Forschung und Analyse - -Die Forschungsfunktion von Amazon Macie ermöglicht benutzerdefinierte Abfragen über alle Macie-Daten für eine eingehende Analyse. Filter umfassen CloudTrail-Daten, S3-Bucket-Eigenschaften und S3-Objekte. Darüber hinaus unterstützt es die Einladung anderer Konten zur gemeinsamen Nutzung von Amazon Macie, um die kollaborative Datenverwaltung und Sicherheitsüberwachung zu erleichtern. - -### Enumeration -``` -# Get buckets -aws macie2 describe-buckets - -# Org config -aws macie2 describe-organization-configuration - -# Get admin account (if any) -aws macie2 get-administrator-account -aws macie2 list-organization-admin-accounts # Run from the management account of the org - -# Get macie account members (run this form the admin account) -aws macie2 list-members - -# Check if automated sensitive data discovey is enabled -aws macie2 get-automated-discovery-configuration - -# Get findings -aws macie2 list-findings -aws macie2 get-findings --finding-ids -aws macie2 list-findings-filters -aws macie2 get -findings-filters --id - -# Get allow lists -aws macie2 list-allow-lists -aws macie2 get-allow-list --id - -# Get different info -aws macie2 list-classification-jobs -aws macie2 list-classification-scopes -aws macie2 list-custom-data-identifiers -``` -#### Post Exploitation - -> [!TIP] -> Aus der Perspektive eines Angreifers ist dieser Dienst nicht dazu gedacht, den Angreifer zu erkennen, sondern um sensible Informationen in den gespeicherten Dateien zu erkennen. Daher könnte dieser Dienst **einem Angreifer helfen, sensible Informationen** in den Buckets zu finden.\ -> Vielleicht könnte ein Angreifer jedoch auch daran interessiert sein, ihn zu stören, um zu verhindern, dass das Opfer Warnungen erhält und diese Informationen leichter stehlen kann. - -TODO: PRs sind willkommen! - -## References - -- [https://cloudacademy.com/blog/introducing-aws-security-hub/](https://cloudacademy.com/blog/introducing-aws-security-hub/) - -{{#include ../../../../banners/hacktricks-training.md}}