O documento discute problemas de privilégios excessivos no AWS IAM. Apresenta uma introdução ao IAM, tipos de políticas e vazamentos de chaves. Mostra como analisar políticas existentes e detectar quando privilégios foram elevados indevidamente, como no caso de uma política de terceiros que recebeu permissões adicionais de forma inadequada. Conclui enfatizando a importância do princípio do mínimo privilégio e da análise contínua do ambiente.

1. Mapeando
problemas de
privilégios no
AWS IAM
Rodrigo Montoro
@spookerlabs

2. sts get-caller-identity
● Cofundador da BlueOps (adquirida pela Tenchi)
● Pesquisador Sênior e Consultor @ Tenchi Security
● Palestrante / Organizador CTF (BlueWars - H2HC)
● Autor de 2 patentes (http headers e detecting malicious docs)
● Morador de Florianópolis (Silicon Island)
● Triathlon / Crossfit / Maromba / Cerveja

3. Agenda
1. Introdução IAM (Identity & Access Management)
2. Vazamentos de Chaves
3. Criação & Análise de Políticas IAM
4. Abusando de privilégios excessivos

4. Introdução IAM (Identity
& Access Management)

5. O que é IAM ?
● Controle de acesso aos serviços AWS
● Deny por padrão
● Formato json
● PARC
○ Principal
○ Action(s) (7200+)
○ Resource
○ Condition

6. Como funciona o IAM ?

7. Access Level

8. Tipo de Políticas
● Identity-Based
● Resource-Based
● Permission Boundary
● Session
● Service Control Policy (SCP)
● AWS Managed Policies
● Customer Managed Policies
● Inline Policies

9. Exemplo Política

10. Vazamentos de chaves

11. O que é uma chave ?
● Access Key (20 caracteres)
● Access Secret Key (40 caracteres)
● Session Token (opcional)
Exemplo:
AKIA3GXXXDPSBIFXXXFT
RPh6XvPLMAHyrxxxmn1YmFaAXqM+XXXrNXQulkci

12. Como ter acesso a uma chave ?
● Portal / API (na criação)
● Aplicação
● Metadata (http://169.254.169.254)
● Vazamento código (shhgit e derivados)
● Endpoint (.aws/credentials)
● Third Party (Cross Account)
● Configuração ferramentas (CI/CD, Scans)

13. O que posso fazer com uma chave ?

14. Criação & Análise de
Políticas IAM

15. Preventivos
● Policy Sentry (Criar políticas)
● Parliament (verificar políticas)
Source: https://github.com/salesforce/policy_sentry

16. Análise de políticas ambiente AWS
Source: https://github.com/salesforce/cloudsplaining

17. Abusando de privilégios
excessivos

18. Política da Empresa Terceira
(REAL)

19. Análise utilizando CloudSplaining

20. Análise utilizando CloudSplaining

21. Análise utilizando CloudSplaining

22. Role da Empresa (antes)

23. Elevando privilégio (1/2)

24. Elevando privilégio (2/2)

25. Conclusões
● Utilize sempre o conceito de mínimo privilégio
● Faça enforce via SCP de mitigações de segurança
● Comece seus ambientes da forma correta
● Análise continuamente seu ambiente
● Valide SEMPRE as permissões de terceiros

26. Links referência
https://www.tenchisecurity.com/blog/
https://github.com/salesforce/policy_sentry/
https://github.com/salesforce/cloudsplaining
https://github.com/0xdabbad00
https://www.shhgit.com/

27. Rodrigo
“Sp0oKeR”
Montoro
Contato:
rmontoro@tenchisecurity.com
@spookerlabs