Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Злоумышленники могут использовать сервис Security Token Service (STS) в AWS для проникновения в облачные аккаунты

08/12/23

download (34)-1

AWS STS — это веб-сервис, позволяющий пользователям запрашивать временные учётные данные с ограниченными правами для доступа к ресурсам AWS без необходимости создания AWS-удостоверения. Срок действия этих токенов STS может варьироваться от 15 минут до 36 часов.

Преступники могут похитить долгосрочные токены IAM, используя различные методы, такие как заражение вредоносным ПО, публично доступные учётные данные и фишинговые электронные письма, а затем использовать их для определения ролей и привилегий, связанных с этими токенами, через API-вызовы, пишет Securitylab.

В зависимости от уровня разрешений токена, злоумышленники могут использовать его для создания дополнительных пользователей IAM с долгосрочными токенами AKIA для обеспечения постоянства в случае обнаружения и отзыва их первоначального токена AKIA со всеми короткосрочными токенами ASIA, которые он генерирует.

На следующем этапе используется аутентифицированный при помощи MFA токен STS для создания нескольких новых краткосрочных токенов, за которыми следует выполнение действий после эксплуатации, таких как эксфильтрация данных.

Для предотвращения злоупотребления токенами AWS эксперты Red Canary рекомендуют регистрировать данные событий CloudTrail, обнаруживать события связывания ролей и злоупотребления MFA, а также регулярно обновлять долгосрочные ключи доступа пользователей IAM.

Исследователи подчёркивают: «AWS STS является критически важным элементом безопасности для ограничения использования статических учётных данных и продолжительности доступа пользователей к облачной инфраструктуре. Однако в определённых конфигурациях IAM, которые распространены во многих организациях, злоумышленники также могут создавать и злоупотреблять этими токенами STS для доступа к облачным ресурсам и выполнения вредоносных действий».

Чтобы избежать подобного, организациям следует тщательнее отслеживать активность в своих облачных аккаунтах, регулярно обновлять учётные данные и ограничивать привилегии согласно принципу наименьших прав доступа. Бдительность и продуманный подход к безопасности — ключ к защите от подобных атак.

Темы:Облачные технологииУгрозыAmazon Web ServicesRed Canary
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...