Red Team deckt IAM-Schwächen auf

In der Ausgabe 2H 2020 des halbjährlich erscheinenden Unit 42 Cloud Threat Report führten die Forscher Red Team Angriffe durch, scannten öffentliche Cloud-Daten und zogen proprietäre Daten von Palo Alto Networks hinzu, um die Bedrohungslandschaft des Identitäts- und Zugriffsmanagements (IAM) zu untersuchen und zu ermitteln, wo Unternehmen ihre IAM-Konfigurationen verbessern können.

Während einer Übung von Red Team konnten die Forscher von Unit 42 IAM-Fehlkonfigurationen entdecken und nutzen, um Admin-Zugriff auf die gesamte Amazon Web Services (AWS)-Cloud-Umgebung eines Kunden zu erhalten – ein potenzieller, mehrere Millionen Dollar teurer Datenverstoß in der realen Welt. Diese Beispiele verdeutlichen, wie schwerwiegend das Versagen bei der Sicherung von IAM für eine Organisation sein kann.

In einem anderen Fall nutzten Forscher erfolgreich die falsch konfigurierte IAM-Rollenvertrauensrichtlinie „AssumeRole“ aus, um vorübergehend Zugang zu sensiblen Ressourcen zu erhalten. Das Team von Einheit 42 konnte dies mit Hilfe eines anonymen AWS-Kontos bewerkstelligen.

Es ist wichtig, darauf hinzuweisen, dass für jeden Versuch, eine AWS-Rolle zu übernehmen, ein AWS CloudTrail-Ereignis generiert wird. Es ist entscheidend, dass Organisationen ihre CloudTrail-Protokolle auf AssumeRole-Ereignisse überwachen und sicherstellen, dass nur genehmigte AWS-Konten diese Aktionen in der Umgebung der Organisation durchführen. Die Grundursache, die diesen nicht authentifizierten Zugriff erlaubte, war eine übermäßig freizügige IAM-Rollen-Vertrauenspolitik.

Die falsch konfigurierte Richtlinie erlaubte es jedem AWS-Benutzer, der sich nicht im Konto befindet, die Rolle zu übernehmen und ein Zugriffstoken zu erhalten. Dies konnte zu einer beliebigen Anzahl von Angriffen gegen eine Organisation führen, einschließlich Denial-of-Service (DoS) und Lösegeldforderungen, oder sogar eine Tür für einen Gegner der Advanced Persistent Threat (APT) öffnen.

In derselben Übung des Roten Teams konnten sich die Forscher der Einheit 42 erfolgreich seitlich lateral bewegen, ohne dass ein Administrator Zugriff hatte, indem sie eine falsch konfigurierte IAM-Rolle im Zusammenhang mit der Verwaltung der Ablaufprotokolle nutzten. Sie haben dann erfolgreich ihre Privilegien von einem eingeschränkten Entwicklerkonto aus eskaliert, um Persistenz zu erlangen, was durch die Entführung eines Administratorkontos erreicht wurde.

Durch die Ausnutzung dieser übermäßig freizügigen IAM-Rolle im Zusammenhang mit den Flow-Logs erhielten die Forscher von Unit 42 administrativen Zugriff auf die gesamte Cloud-Umgebung, wodurch die uneingeschränkte Manipulation von Cloud-Ressourcen ermöglicht wurde. Sie waren dann in der Lage, neue Amazon Elastic Compute Cloud (EC2)- und Relational Database Service (RDS)-Instanzen zu erstellen sowie Benutzer- und Richtlinienberechtigungen zu ändern. Angreifer konnten diese Technik nutzen, um sensible Daten zu stehlen, die Infrastruktur zu vernichten oder eine Operation mit Lösegeldern zu sperren.

Die Forscher von Unit 42 fanden heraus, dass 74 % der Organisationen in Europa, dem Nahen Osten und Afrika (EMEA) die Google Cloud nutzen, um Arbeitslasten mit Administratorrechten auszuführen. Es ist ein bewährtes Verfahren, Workloads nach dem Prinzip der geringsten Privilegien auszuführen, d. h. die Berechtigungen für Nutzer auf das erforderliche Minimum zu beschränken. Wenn ein Angreifer in der Lage ist, eine Arbeitslast mit Admin-Privilegien zu kompromittieren, würde der Angreifer den gleichen Grad an erhöhtem Zugriff erhalten. Dies bietet einen einfachen Weg für Angreifer, Cloud-Ressourcen zu nutzen, um Angriffe wie Krypto-Jacking-Operationen auf Kosten der Organisation durchzuführen.

Zusätzlich zu den IAM-Forschungsarbeiten lieferte das Team von Einheit 42 ein Update zu seiner laufenden Untersuchung der allgemeinen Sicherheitslage von Cloud-Infrastrukturen weltweit. Die Untersuchung von Unit 42 zeigt, dass mindestens 23% der Organisationen weltweit, die Cloud-Infrastrukturen unterhalten, von Cryptojacking betroffen sind. Das Team fand heraus, dass Cloud-Umgebungen im Visier von Cyberkriminalitätsgruppen stehen, die sich auf böswillige Kryptomining-Vorgänge konzentrieren, die nach wie vor zu den bekanntesten Angriffen auf Cloud-Infrastrukturen gehören.

Der Schutz Ihrer Cloud-Infrastruktur vor der Ausnutzung falsch konfigurierter IAM-Rollen und -Richtlinien kann die Verteidigung der Cloud-Infrastruktur verbessern und stärken. Um in der Cloud sicher zu bleiben, sollten Sie ein Situationsbewusstsein für die neuesten gegnerischen Taktiken hinsichtlich der Ausrichtung auf IAM-Rollen und –Richtlinien schaffen, die zu schwerwiegenden, nur in der Cloud auftretenden Sicherheitsvorfällen führen können. Befähigen Sie DevOps und Sicherheitsteams, der Bedrohungskurve voraus zu sein und ihre Cloud-Umgebungen besser zu schützen. Vermitteln Sie die Denkweise, dass eine sichere Cloud nur möglich ist, wenn Unternehmen sinnvolle Schritte unternehmen, um ihre IAM-Rollen und -Richtlinien zu stärken.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

17 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

19 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

23 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

23 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

24 Stunden ago