Alerta: Atacantes podem aproveitar o AWS STS para infiltrar em Contas da Nuvem
7 de Dezembro de 2023

Atores de ameaça podem aproveitar o Serviço de Tokens de Segurança da Amazon Web Services (AWS STS) como uma maneira de infiltrar em contas na nuvem e realizar ataques subsequentes.

O serviço permite que atores de ameaça se passem por identidades e funções de usuários em ambientes de nuvem, disseram os pesquisadores da Red Canary, Thomas Gardner e Cody Betsworth, em uma análise de terça-feira.

O AWS STS é um serviço da web que permite aos usuários solicitar credenciais temporárias e de privilégios limitados para acessar recursos da AWS sem precisar criar uma identidade na AWS.

Esses tokens STS podem ser válidos de 15 minutos a 36 horas.

Atores de ameaça podem roubar tokens IAM de longo prazo através de uma variedade de métodos, como infecções por malware, credenciais expostas publicamente e emails de phishing, utilizando-os posteriormente para determinar funções e privilégios associados a esses tokens por meio de chamadas de API.

"Dependendo do nível de permissão do token, os adversários também podem ser capazes de usá-lo para criar usuários IAM adicionais com tokens AKIA de longo prazo para garantir a persistência no caso de seu token AKIA inicial e todos os tokens de curto prazo ASIA que ele gerou serem descobertos e revogados", disse o pesquisador.

Na próxima etapa, um token STS autenticado por MFA é usado para criar vários novos tokens de curto prazo, seguido por ações pós-exploração, como exfiltração de dados.

Para mitigar tal abuso de tokens AWS, é recomendado registrar dados de eventos do CloudTrail, detectar eventos de encadeamento de funções e abuso de MFA, e rotacionar chaves de acesso de usuários IAM de longo prazo.

"O AWS STS é um controle de segurança crítico para limitar o uso de credenciais estáticas e a duração do acesso para usuários em toda a sua infraestrutura na nuvem", disseram os pesquisadores.

"No entanto, sob certas configurações IAM que são comuns em muitas organizações, os adversários também podem criar e abusar desses tokens STS para acessar recursos na nuvem e realizar ações maliciosas."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...