警告:AWS IAM的行为与目录服务不同
来自以色列安全公司LightSpin的研究人员已经确定了在Amazon Web服务(AWS)上配置身份和访问控制服务的问题,这些功能可能会让许多组织易受攻击。
提出的问题不仅说明了误解AWS的容易,而且突出了成熟的Active Directory部署之间的差距以及如何迁移到云原始IT架构。
LightSpin表示已发现AWS身份和访问管理(IAM)规则在基于Windows的安全或其他授权机制中的Microsoft Active Directory中的规则与规则相同。
在描述风险的博客文章中,CTO或Azarzar描述了安全管理员如何为Windows组设置显式权限,该组不能被该组的用户覆盖。“然后我们看看IAM,那不是这种情况,”他说。
这意味着即使管理员明确讨论该组拒绝对某些人的访问,即使配置只影响组动作,而不是组的成员。Azarzar警告说,没有传播到inpidual用户的组政策的含义未传播到inpidual用户,达到了错误配置和漏洞。
风险是安全管理员可能错误地假设在AWS上配置IAM的过程与Windows上的Active Directory相同。
AWS IAM用户和组策略之间的这种差距可以被攻击者利用,以接管帐户,删除组成员,窃取数据并关闭服务。LightSpin声称其研究团队能够通过使用这种技术来损害数十个账户。
AWS表示,IAM所需的方法是通过设计,而不是错误。AWS将组视为单独的对象。这意味着IAM在拒绝规则方面,这意味着IAM不会将用户视为一个组的一部分。
AWS IAM和Active Directory之间的差异意味着组织在复制规则时需要密切关注。
从稻草民意调查LightSpin RAN,大多数组织没有考虑到AWS IAM行为与Active Directory相比的不同方式,这表明大多数企业需要仔细查看他们的AWS身份和访问控制。
“最初,我们相信这种脆弱性是一个孤立的案例,”Lightpin Ceo的首席执行官Vladi Sandler说。“但是,在进一步调查时,我们发现在许多情况下,用户可以执行系统管理员在康复组安全配置时被拒绝的动作。这使得用户的账户被认为是安全的,容易渗透的。“
LightSpin发现,联系的组织的一半不正确的AWS IAM配置,如果用户的帐户被黑客攻击,则可能会受到损害。
IT行业普遍认识到难以将成熟的内部部署Active Directory部署迁移到公共云。传输用户配置文件和保留访问和策略控制可能是错误的。LightSpin示例仅说明了迁移假设可以让组织处于风险的方便。
该公司开发了一个开源扫描仪,报告用户权限是松散定义的,打开黑客的攻击路径。