From 6255ce60f2f304d7ceb1a58f972274b7d8984e17 Mon Sep 17 00:00:00 2001 From: Translator Date: Sat, 15 Feb 2025 01:16:05 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/aws-security/aws-privilege-escalation/ --- src/SUMMARY.md | 6 +- .../aws-macie-privesc.md | 36 ++++-- .../aws-macie-enum.md | 116 ------------------ 3 files changed, 28 insertions(+), 130 deletions(-) delete mode 100644 src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index 1056403e4..478e28676 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -292,6 +292,7 @@ - [AWS - KMS Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-kms-privesc.md) - [AWS - Lambda Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-lambda-privesc.md) - [AWS - Lightsail Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-lightsail-privesc.md) + - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md) - [AWS - Mediapackage Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-mediapackage-privesc.md) - [AWS - MQ Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-mq-privesc.md) - [AWS - MSK Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-msk-privesc.md) @@ -320,7 +321,6 @@ - [AWS - Firewall Manager Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-firewall-manager-enum.md) - [AWS - GuardDuty Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-guardduty-enum.md) - [AWS - Inspector Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-inspector-enum.md) - - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md) - [AWS - Security Hub Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-security-hub-enum.md) - [AWS - Shield Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-shield-enum.md) - [AWS - Trusted Advisor Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-trusted-advisor-enum.md) @@ -354,6 +354,7 @@ - [AWS - KMS Enum](pentesting-cloud/aws-security/aws-services/aws-kms-enum.md) - [AWS - Lambda Enum](pentesting-cloud/aws-security/aws-services/aws-lambda-enum.md) - [AWS - Lightsail Enum](pentesting-cloud/aws-security/aws-services/aws-lightsail-enum.md) + - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-services/aws-macie-enum.md) - [AWS - MQ Enum](pentesting-cloud/aws-security/aws-services/aws-mq-enum.md) - [AWS - MSK Enum](pentesting-cloud/aws-security/aws-services/aws-msk-enum.md) - [AWS - Organizations Enum](pentesting-cloud/aws-security/aws-services/aws-organizations-enum.md) @@ -399,6 +400,7 @@ - [Az - Tokens & Public Applications](pentesting-cloud/azure-security/az-basic-information/az-tokens-and-public-applications.md) - [Az - Enumeration Tools](pentesting-cloud/azure-security/az-enumeration-tools.md) - [Az - Unauthenticated Enum & Initial Entry](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/README.md) + - [Az - Container Registry Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-container-registry-unauth.md) - [Az - OAuth Apps Phishing](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-oauth-apps-phishing.md) - [Az - Storage Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-storage-unauth.md) - [Az - VMs Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-vms-unauth.md) @@ -413,7 +415,7 @@ - [Az - Azure App Services](pentesting-cloud/azure-security/az-services/az-app-services.md) - [Az - Cloud Shell](pentesting-cloud/azure-security/az-services/az-cloud-shell.md) - [Az - Container Registry](pentesting-cloud/azure-security/az-services/az-container-registry.md) - - [Az - Container Registry](pentesting-cloud/azure-security/az-services/az-container-instances.md) + - [Az - Container Instances](pentesting-cloud/azure-security/az-services/az-container-instances.md) - [Az - CosmosDB](pentesting-cloud/azure-security/az-services/az-cosmosDB.md) - [Az - Intune](pentesting-cloud/azure-security/az-services/intune.md) - [Az - File Shares](pentesting-cloud/azure-security/az-services/az-file-shares.md) diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md index 0330d96c3..6f9279fc6 100644 --- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md +++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md @@ -1,25 +1,37 @@ -# Amazon Macie - Bypass `Reveal Sample` Integrity Check +# AWS - Macie Privesc -AWS Macie es un servicio de seguridad que detecta automáticamente datos sensibles dentro de entornos de AWS, como credenciales, información de identificación personal (PII) y otros datos confidenciales. Cuando Macie identifica una credencial sensible, como una clave secreta de AWS almacenada en un bucket S3, genera un hallazgo que permite al propietario ver una "muestra" de los datos detectados. Típicamente, una vez que el archivo sensible se elimina del bucket S3, se espera que la clave secreta ya no pueda ser recuperada. +{{#include ../../../banners/hacktricks-training.md}} -Sin embargo, se ha identificado un **bypass** donde un atacante con permisos suficientes puede **volver a subir un archivo con el mismo nombre** pero que contenga datos ficticios diferentes y no sensibles. Esto provoca que Macie asocie el archivo recién subido con el hallazgo original, permitiendo al atacante usar la **función "Reveal Sample"** para extraer la clave secreta detectada anteriormente. Este problema representa un riesgo de seguridad significativo, ya que las claves que se asumían eliminadas siguen siendo recuperables a través de este método. +## Macie - +Para más información sobre Macie, consulta: -## Steps To Reproduce: +{{#ref}} +../aws-services/aws-macie-enum.md +{{#endref}} -1. Sube un archivo (por ejemplo, `test-secret.txt`) a un bucket S3 con datos sensibles, como una clave secreta de AWS. Espera a que AWS Macie escanee y genere un hallazgo. +### Amazon Macie - Bypass `Reveal Sample` Integrity Check -2. Navega a los Hallazgos de AWS Macie, localiza el hallazgo generado y usa la función **Reveal Sample** para ver la clave secreta detectada. +AWS Macie es un servicio de seguridad que detecta automáticamente datos sensibles dentro de entornos de AWS, como credenciales, información de identificación personal (PII) y otros datos confidenciales. Cuando Macie identifica una credencial sensible, como una clave secreta de AWS almacenada en un bucket de S3, genera un hallazgo que permite al propietario ver una "muestra" de los datos detectados. Típicamente, una vez que el archivo sensible se elimina del bucket de S3, se espera que la clave secreta ya no pueda ser recuperada. -3. Elimina `test-secret.txt` del bucket S3 y verifica que ya no exista. +Sin embargo, se ha identificado un **bypass** donde un atacante con permisos suficientes puede **volver a subir un archivo con el mismo nombre** pero que contenga datos ficticios diferentes y no sensibles. Esto provoca que Macie asocie el archivo recién subido con el hallazgo original, permitiendo al atacante utilizar la **función "Reveal Sample"** para extraer el secreto detectado anteriormente. Este problema representa un riesgo de seguridad significativo, ya que los secretos que se asumieron como eliminados siguen siendo recuperables a través de este método. -4. Crea un nuevo archivo llamado `test-secret.txt` con datos ficticios y vuelve a subirlo al mismo bucket S3 usando la **cuenta del atacante**. +![flow](https://github.com/user-attachments/assets/7b83f2d3-1690-41f1-98cc-05ccd0154a66) + +**Pasos para reproducir:** + +1. Sube un archivo (por ejemplo, `test-secret.txt`) a un bucket de S3 con datos sensibles, como una clave secreta de AWS. Espera a que AWS Macie escanee y genere un hallazgo. + +2. Navega a los Hallazgos de AWS Macie, localiza el hallazgo generado y utiliza la función **Reveal Sample** para ver el secreto detectado. + +3. Elimina `test-secret.txt` del bucket de S3 y verifica que ya no exista. + +4. Crea un nuevo archivo llamado `test-secret.txt` con datos ficticios y vuelve a subirlo al mismo bucket de S3 utilizando la **cuenta del atacante**. 5. Regresa a los Hallazgos de AWS Macie, accede al hallazgo original y haz clic en **Reveal Sample** nuevamente. -6. Observa que Macie aún revela la clave secreta original, a pesar de que el archivo ha sido eliminado y reemplazado con contenido diferente **de diferentes cuentas, en nuestro caso será la cuenta del atacante**. +6. Observa que Macie aún revela el secreto original, a pesar de que el archivo ha sido eliminado y reemplazado con contenido diferente **de diferentes cuentas, en nuestro caso será la cuenta del atacante**. -## Summary: +**Resumen:** -Esta vulnerabilidad permite a un atacante con permisos suficientes de AWS IAM recuperar claves secretas detectadas anteriormente incluso después de que el archivo original ha sido eliminado de S3. Si una clave secreta de AWS, un token de acceso u otra credencial sensible se expone, un atacante podría aprovechar este defecto para recuperarla y obtener acceso no autorizado a los recursos de AWS. Esto podría llevar a una escalada de privilegios, acceso no autorizado a datos o un mayor compromiso de activos en la nube, resultando en violaciones de datos y interrupciones del servicio. +Esta vulnerabilidad permite a un atacante con permisos suficientes de AWS IAM recuperar secretos detectados previamente incluso después de que el archivo original ha sido eliminado de S3. Si se expone una clave secreta de AWS, un token de acceso u otra credencial sensible, un atacante podría aprovechar este defecto para recuperarla y obtener acceso no autorizado a los recursos de AWS. Esto podría llevar a una escalada de privilegios, acceso no autorizado a datos o un mayor compromiso de activos en la nube, resultando en violaciones de datos y interrupciones del servicio. diff --git a/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md b/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md deleted file mode 100644 index ab1d9ead5..000000000 --- a/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md +++ /dev/null @@ -1,116 +0,0 @@ -# AWS - Macie Enum - -## AWS - Macie Enum - -{{#include ../../../../banners/hacktricks-training.md}} - -## Macie - -Amazon Macie se destaca como un servicio diseñado para **detectar, clasificar e identificar datos** automáticamente dentro de una cuenta de AWS. Aprovecha **aprendizaje automático** para monitorear y analizar continuamente los datos, enfocándose principalmente en detectar y alertar sobre actividades inusuales o sospechosas al examinar los datos de **eventos de cloud trail** y los patrones de comportamiento de los usuarios. - -Características clave de Amazon Macie: - -1. **Revisión activa de datos**: Emplea aprendizaje automático para revisar datos activamente a medida que ocurren diversas acciones dentro de la cuenta de AWS. -2. **Detección de anomalías**: Identifica actividades irregulares o patrones de acceso, generando alertas para mitigar posibles riesgos de exposición de datos. -3. **Monitoreo continuo**: Monitorea y detecta automáticamente nuevos datos en Amazon S3, empleando aprendizaje automático e inteligencia artificial para adaptarse a los patrones de acceso a los datos a lo largo del tiempo. -4. **Clasificación de datos con NLP**: Utiliza procesamiento de lenguaje natural (NLP) para clasificar e interpretar diferentes tipos de datos, asignando puntajes de riesgo para priorizar hallazgos. -5. **Monitoreo de seguridad**: Identifica datos sensibles a la seguridad, incluidos claves API, claves secretas e información personal, ayudando a prevenir filtraciones de datos. - -Amazon Macie es un **servicio regional** y requiere el rol IAM 'AWSMacieServiceCustomerSetupRole' y un AWS CloudTrail habilitado para su funcionalidad. - -### Sistema de Alertas - -Macie categoriza las alertas en categorías predefinidas como: - -- Acceso anonimizado -- Cumplimiento de datos -- Pérdida de credenciales -- Escalación de privilegios -- Ransomware -- Acceso sospechoso, etc. - -Estas alertas proporcionan descripciones detalladas y desgloses de resultados para una respuesta y resolución efectivas. - -### Características del Panel - -El panel categoriza los datos en varias secciones, incluyendo: - -- Objetos S3 (por rango de tiempo, ACL, PII) -- Eventos/usuarios de CloudTrail de alto riesgo -- Ubicaciones de actividad -- Tipos de identidad de usuario de CloudTrail, y más. - -### Clasificación de Usuarios - -Los usuarios se clasifican en niveles según el nivel de riesgo de sus llamadas API: - -- **Platino**: Llamadas API de alto riesgo, a menudo con privilegios de administrador. -- **Oro**: Llamadas API relacionadas con la infraestructura. -- **Plata**: Llamadas API de riesgo medio. -- **Bronce**: Llamadas API de bajo riesgo. - -### Tipos de Identidad - -Los tipos de identidad incluyen Root, usuario IAM, Rol Asumido, Usuario Federado, Cuenta de AWS y Servicio de AWS, indicando la fuente de las solicitudes. - -### Clasificación de Datos - -La clasificación de datos abarca: - -- Tipo de Contenido: Basado en el tipo de contenido detectado. -- Extensión de Archivo: Basado en la extensión del archivo. -- Tema: Clasificado por palabras clave dentro de los archivos. -- Regex: Clasificado según patrones regex específicos. - -El mayor riesgo entre estas categorías determina el nivel de riesgo final del archivo. - -### Investigación y Análisis - -La función de investigación de Amazon Macie permite consultas personalizadas en todos los datos de Macie para un análisis profundo. Los filtros incluyen Datos de CloudTrail, propiedades de S3 Bucket y Objetos S3. Además, admite invitar a otras cuentas a compartir Amazon Macie, facilitando la gestión colaborativa de datos y el monitoreo de seguridad. - -### Enumeración -``` -# Get buckets -aws macie2 describe-buckets - -# Org config -aws macie2 describe-organization-configuration - -# Get admin account (if any) -aws macie2 get-administrator-account -aws macie2 list-organization-admin-accounts # Run from the management account of the org - -# Get macie account members (run this form the admin account) -aws macie2 list-members - -# Check if automated sensitive data discovey is enabled -aws macie2 get-automated-discovery-configuration - -# Get findings -aws macie2 list-findings -aws macie2 get-findings --finding-ids -aws macie2 list-findings-filters -aws macie2 get -findings-filters --id - -# Get allow lists -aws macie2 list-allow-lists -aws macie2 get-allow-list --id - -# Get different info -aws macie2 list-classification-jobs -aws macie2 list-classification-scopes -aws macie2 list-custom-data-identifiers -``` -#### Post Explotación - -> [!TIP] -> Desde la perspectiva de un atacante, este servicio no está diseñado para detectar al atacante, sino para detectar información sensible en los archivos almacenados. Por lo tanto, este servicio podría **ayudar a un atacante a encontrar información sensible** dentro de los buckets.\ -> Sin embargo, tal vez un atacante también podría estar interesado en interrumpirlo para evitar que la víctima reciba alertas y robar esa información más fácilmente. - -TODO: ¡Se aceptan PRs! - -## Referencias - -- [https://cloudacademy.com/blog/introducing-aws-security-hub/](https://cloudacademy.com/blog/introducing-aws-security-hub/) - -{{#include ../../../../banners/hacktricks-training.md}}