警告:AWS IAM的行为与目录服务不同
贷款费用小组MPS需求IR35 Shapl-Up以阻止承包商成为“零权利员工”
HMRC批评贷款收费政策响应的持续的“缺点”
微软与英国启动团队启动,以尽量减少航空业对气候变化的影响
Ovhcloud在Strasbourg Datacentre Campus射击之后没有伤亡
加拿大的罗杰斯和Shaw宣布了260亿美元的合并
CW创新奖:JIO平台轻拍机器学习管理电信网络
四个英国企业中有四个寻求新的安全供应商
北欧国家推出联合无人发展倡议
Mod报告数据丢失事件的增加18%
阿姆斯特丹应用科学大学结合了AI和练习
在凭据填充攻击后,npower关闭了应用程序
使用数字单位来盯着下一步服务
英国数字监管机构阐述了加强合作的计划
前部长们用迈克林奇引渡说出来
法官拒绝加密被告对最高法院的上诉
埃及,意大利和美国在Facebook泄漏中受到最受影响的影响
金融服务的IBM Cloud继续普通版本
C40,C60 R3,Go!纯添加到FlashArray // C QLC闪存范围
赫尔辛基市采用MyData原则来改善数字服务
Google Chrome更新修补严重的零天
只有12%的全球企业完全拥抱Sase
Amdocs加入开放网络基础
Windows 10,Server 2019用户必须修补严重的零天
赫特福德大学是最新的学术网络攻击受害者
PageRduty在AWS的帮助下扩展欧洲数据中心存在
学徒人员可能是网络技能短缺的解决方案
私人LTE / 5G市场在2024年达到4.2亿英镑
Hellokitty几乎肯定在CD Projekt赎金软件攻击后面
数据保护法中的移民豁免面临进一步的法律挑战
微软被控扼杀了二手软件市场
在政府发布的学校笔记本电脑上发现的Gamarue Malware
英国的arkivum为4.8亿欧元欧盟科学数据档案项目
ALTNET协会警告对英国全纤维推出的威胁
在瓶子里裂开消息
O2和NEC索赔开放式审判成功
eniag anniagerary:75年的计算机技术已经交付
科技工人为中心的伞形公司推出以IR35将其瞄准承包商'流离失所者'
威廉姆斯F1汽车发射被数据泄漏中断
由于政府宣布增加支持,英国金融科技投资击中了新的高度
BT删除BBC BETESIZE教育内容的移动数据费用
英国政府设定提供金融气签证
Hyperoptic为家庭教育提供免费宽带包装
Cinia削减了传输网络升级的丝带交易
AWS和Telstra团队在5克
超过三分之二的公司将投资专用的遥控连接
EE 5G提供BBC绿色星球增强现实体验
EE在2021年在500多个英国地区扩展移动覆盖范围
Palo Alto Networks打开澳大利亚云位置
谷歌威胁要切断澳大利亚
您的位置:首页 >论坛 > 电子业界 >

警告:AWS IAM的行为与目录服务不同

2021-09-18 11:44:20 [来源]:

来自以色列安全公司LightSpin的研究人员已经确定了在Amazon Web服务(AWS)上配置身份和访问控制服务的问题,这些功能可能会让许多组织易受攻击。

提出的问题不仅说明了误解AWS的容易,而且突出了成熟的Active Directory部署之间的差距以及如何迁移到云原始IT架构。

LightSpin表示已发现AWS身份和访问管理(IAM)规则在基于Windows的安全或其他授权机制中的Microsoft Active Directory中的规则与规则相同。

在描述风险的博客文章中,CTO或Aza​​rzar描述了安全管理员如何为Windows组设置显式权限,该组不能被该组的用户覆盖。“然后我们看看IAM,那不是这种情况,”他说。

这意味着即使管理员明确讨论该组拒绝对某些人的访问,即使配置只影响组动作,而不是组的成员。Azarzar警告说,没有传播到inpidual用户的组政策的含义未传播到inpidual用户,达到了错误配置和漏洞。

风险是安全管理员可能错误地假设在AWS上配置IAM的过程与Windows上的Active Directory相同。

AWS IAM用户和组策略之间的这种差距可以被攻击者利用,以接管帐户,删除组成员,窃取数据并关闭服务。LightSpin声称其研究团队能够通过使用这种技术来损害数十个账户。

AWS表示,IAM所需的方法是通过设计,而不是错误。AWS将组视为单独的对象。这意味着IAM在拒绝规则方面,这意味着IAM不会将用户视为一个组的一部分。

AWS IAM和Active Directory之间的差异意味着组织在复制规则时需要密切关注。

从稻草民意调查LightSpin RAN,大多数组织没有考虑到AWS IAM行为与Active Directory相比的不同方式,这表明大多数企业需要仔细查看他们的AWS身份和访问控制。

“最初,我们相信这种脆弱性是一个孤立的案例,”Lightpin Ceo的首席执行官Vladi Sandler说。“但是,在进一步调查时,我们发现在许多情况下,用户可以执行系统管理员在康复组安全配置时被拒绝的动作。这使得用户的账户被认为是安全的,容易渗透的。“

LightSpin发现,联系的组织的一半不正确的AWS IAM配置,如果用户的帐户被黑客攻击,则可能会受到损害。

IT行业普遍认识到难以将成熟的内部部署Active Directory部署迁移到公共云。传输用户配置文件和保留访问和策略控制可能是错误的。LightSpin示例仅说明了迁移假设可以让组织处于风险的方便。

该公司开发了一个开源扫描仪,报告用户权限是松散定义的,打开黑客的攻击路径。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。