Red Team deckt IAM-Schwächen auf

In der Ausgabe 2H 2020 des halbjährlich erscheinenden Unit 42 Cloud Threat Report führten die Forscher Red Team Angriffe durch, scannten öffentliche Cloud-Daten und zogen proprietäre Daten von Palo Alto Networks hinzu, um die Bedrohungslandschaft des Identitäts- und Zugriffsmanagements (IAM) zu untersuchen und zu ermitteln, wo Unternehmen ihre IAM-Konfigurationen verbessern können.

Während einer Übung von Red Team konnten die Forscher von Unit 42 IAM-Fehlkonfigurationen entdecken und nutzen, um Admin-Zugriff auf die gesamte Amazon Web Services (AWS)-Cloud-Umgebung eines Kunden zu erhalten – ein potenzieller, mehrere Millionen Dollar teurer Datenverstoß in der realen Welt. Diese Beispiele verdeutlichen, wie schwerwiegend das Versagen bei der Sicherung von IAM für eine Organisation sein kann.

In einem anderen Fall nutzten Forscher erfolgreich die falsch konfigurierte IAM-Rollenvertrauensrichtlinie „AssumeRole“ aus, um vorübergehend Zugang zu sensiblen Ressourcen zu erhalten. Das Team von Einheit 42 konnte dies mit Hilfe eines anonymen AWS-Kontos bewerkstelligen.

Es ist wichtig, darauf hinzuweisen, dass für jeden Versuch, eine AWS-Rolle zu übernehmen, ein AWS CloudTrail-Ereignis generiert wird. Es ist entscheidend, dass Organisationen ihre CloudTrail-Protokolle auf AssumeRole-Ereignisse überwachen und sicherstellen, dass nur genehmigte AWS-Konten diese Aktionen in der Umgebung der Organisation durchführen. Die Grundursache, die diesen nicht authentifizierten Zugriff erlaubte, war eine übermäßig freizügige IAM-Rollen-Vertrauenspolitik.

Die falsch konfigurierte Richtlinie erlaubte es jedem AWS-Benutzer, der sich nicht im Konto befindet, die Rolle zu übernehmen und ein Zugriffstoken zu erhalten. Dies konnte zu einer beliebigen Anzahl von Angriffen gegen eine Organisation führen, einschließlich Denial-of-Service (DoS) und Lösegeldforderungen, oder sogar eine Tür für einen Gegner der Advanced Persistent Threat (APT) öffnen.

In derselben Übung des Roten Teams konnten sich die Forscher der Einheit 42 erfolgreich seitlich lateral bewegen, ohne dass ein Administrator Zugriff hatte, indem sie eine falsch konfigurierte IAM-Rolle im Zusammenhang mit der Verwaltung der Ablaufprotokolle nutzten. Sie haben dann erfolgreich ihre Privilegien von einem eingeschränkten Entwicklerkonto aus eskaliert, um Persistenz zu erlangen, was durch die Entführung eines Administratorkontos erreicht wurde.

Durch die Ausnutzung dieser übermäßig freizügigen IAM-Rolle im Zusammenhang mit den Flow-Logs erhielten die Forscher von Unit 42 administrativen Zugriff auf die gesamte Cloud-Umgebung, wodurch die uneingeschränkte Manipulation von Cloud-Ressourcen ermöglicht wurde. Sie waren dann in der Lage, neue Amazon Elastic Compute Cloud (EC2)- und Relational Database Service (RDS)-Instanzen zu erstellen sowie Benutzer- und Richtlinienberechtigungen zu ändern. Angreifer konnten diese Technik nutzen, um sensible Daten zu stehlen, die Infrastruktur zu vernichten oder eine Operation mit Lösegeldern zu sperren.

Die Forscher von Unit 42 fanden heraus, dass 74 % der Organisationen in Europa, dem Nahen Osten und Afrika (EMEA) die Google Cloud nutzen, um Arbeitslasten mit Administratorrechten auszuführen. Es ist ein bewährtes Verfahren, Workloads nach dem Prinzip der geringsten Privilegien auszuführen, d. h. die Berechtigungen für Nutzer auf das erforderliche Minimum zu beschränken. Wenn ein Angreifer in der Lage ist, eine Arbeitslast mit Admin-Privilegien zu kompromittieren, würde der Angreifer den gleichen Grad an erhöhtem Zugriff erhalten. Dies bietet einen einfachen Weg für Angreifer, Cloud-Ressourcen zu nutzen, um Angriffe wie Krypto-Jacking-Operationen auf Kosten der Organisation durchzuführen.

Zusätzlich zu den IAM-Forschungsarbeiten lieferte das Team von Einheit 42 ein Update zu seiner laufenden Untersuchung der allgemeinen Sicherheitslage von Cloud-Infrastrukturen weltweit. Die Untersuchung von Unit 42 zeigt, dass mindestens 23% der Organisationen weltweit, die Cloud-Infrastrukturen unterhalten, von Cryptojacking betroffen sind. Das Team fand heraus, dass Cloud-Umgebungen im Visier von Cyberkriminalitätsgruppen stehen, die sich auf böswillige Kryptomining-Vorgänge konzentrieren, die nach wie vor zu den bekanntesten Angriffen auf Cloud-Infrastrukturen gehören.

Der Schutz Ihrer Cloud-Infrastruktur vor der Ausnutzung falsch konfigurierter IAM-Rollen und -Richtlinien kann die Verteidigung der Cloud-Infrastruktur verbessern und stärken. Um in der Cloud sicher zu bleiben, sollten Sie ein Situationsbewusstsein für die neuesten gegnerischen Taktiken hinsichtlich der Ausrichtung auf IAM-Rollen und –Richtlinien schaffen, die zu schwerwiegenden, nur in der Cloud auftretenden Sicherheitsvorfällen führen können. Befähigen Sie DevOps und Sicherheitsteams, der Bedrohungskurve voraus zu sein und ihre Cloud-Umgebungen besser zu schützen. Vermitteln Sie die Denkweise, dass eine sichere Cloud nur möglich ist, wenn Unternehmen sinnvolle Schritte unternehmen, um ihre IAM-Rollen und -Richtlinien zu stärken.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago