Infiltration des comptes cloud : AWS STS, un outil dangereux pour les acteurs de la menace

AWS STS est un service web qui permet aux utilisateurs de demander des identifiants temporaires à privilèges limités pour accéder aux ressources AWS sans avoir besoin de créer une identité AWS. Ces jetons STS peuvent être valables de 15 minutes à 36 heures.

Les acteurs de la menace peuvent voler des jetons IAM à long terme par le biais de diverses méthodes telles que les infections de logiciels malveillants, les informations d’identification exposées publiquement et les courriels d’hameçonnage, puis les utiliser pour déterminer les rôles et les privilèges associés à ces jetons par le biais d’appels API.

« En fonction du niveau d’autorisation du jeton, les adversaires peuvent également être en mesure de l’utiliser pour créer des utilisateurs IAM supplémentaires avec des jetons AKIA à long terme pour assurer la persistance dans le cas où leur jeton AKIA initial et tous les jetons ASIA à court terme qu’il a générés sont découverts et révoqués », a déclaré le chercheur.
Lors de l’étape suivante, un jeton STS authentifié par MFA est utilisé pour créer plusieurs nouveaux jetons à court terme, puis pour mener des actions de post-exploitation telles que l’exfiltration de données.

Pour limiter ces abus de jetons AWS, il est recommandé d’enregistrer les données d’événements CloudTrail, de détecter les événements de maintien des rôles et les abus MFA, et d’effectuer une rotation des clés d’accès des utilisateurs IAM à long terme.
« AWS STS est un contrôle de sécurité essentiel pour limiter l’utilisation d’informations d’identification statiques et la durée d’accès des utilisateurs dans leur infrastructure cloud », ont déclaré les chercheurs. « Cependant, dans certaines configurations IAM communes à de nombreuses organisations, les adversaires peuvent également créer et abuser de ces jetons STS pour accéder aux ressources du cloud et effectuer des actions malveillantes. »