Atores de ameaça podem aproveitar o Serviço de Tokens de Segurança da Amazon Web Services (AWS STS) como uma maneira de infiltrar em contas na nuvem e realizar ataques subsequentes.
O serviço permite que atores de ameaça se passem por identidades e funções de usuários em ambientes de nuvem, disseram os pesquisadores da Red Canary, Thomas Gardner e Cody Betsworth, em uma análise de terça-feira.
O AWS STS é um serviço da web que permite aos usuários solicitar credenciais temporárias e de privilégios limitados para acessar recursos da AWS sem precisar criar uma identidade na AWS.
Esses tokens STS podem ser válidos de 15 minutos a 36 horas.
Atores de ameaça podem roubar tokens IAM de longo prazo através de uma variedade de métodos, como infecções por malware, credenciais expostas publicamente e emails de phishing, utilizando-os posteriormente para determinar funções e privilégios associados a esses tokens por meio de chamadas de API.
"Dependendo do nível de permissão do token, os adversários também podem ser capazes de usá-lo para criar usuários IAM adicionais com tokens AKIA de longo prazo para garantir a persistência no caso de seu token AKIA inicial e todos os tokens de curto prazo ASIA que ele gerou serem descobertos e revogados", disse o pesquisador.
Na próxima etapa, um token STS autenticado por MFA é usado para criar vários novos tokens de curto prazo, seguido por ações pós-exploração, como exfiltração de dados.
Para mitigar tal abuso de tokens AWS, é recomendado registrar dados de eventos do CloudTrail, detectar eventos de encadeamento de funções e abuso de MFA, e rotacionar chaves de acesso de usuários IAM de longo prazo.
"O AWS STS é um controle de segurança crítico para limitar o uso de credenciais estáticas e a duração do acesso para usuários em toda a sua infraestrutura na nuvem", disseram os pesquisadores.
"No entanto, sob certas configurações IAM que são comuns em muitas organizações, os adversários também podem criar e abusar desses tokens STS para acessar recursos na nuvem e realizar ações maliciosas."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...