©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
ameaças cibernéticas

Ataques à AWS STS: um risco de infiltração em contas na nuvem

Equipe EcoTrust

2 min read
Ataques à AWS STS: um risco de infiltração em contas na nuvem

Os agentes de ameaças estão constantemente procurando novas maneiras de se infiltrar em contas na nuvem e realizar ataques subsequentes. Uma maneira que eles estão usando é aproveitar o Amazon Web Services Security Token Service (AWS STS).

O AWS STS é um serviço da web que permite que os usuários solicitem credenciais temporárias com privilégios limitados para acessar recursos da AWS. Esses tokens STS podem ser válidos em qualquer lugar de 15 minutos a 36 horas.

Os agentes de ameaças podem roubar tokens do IAM de longo prazo por meio de uma variedade de métodos, como infecções por malware, credenciais expostas publicamente e e-mails de phishing. Uma vez que eles tenham esses tokens, eles podem usá-los para se passar por identidades e funções de usuários em ambientes de nuvem.


Como um ataque à AWS STS pode ocorrer?

  1. Um agente de ameaças rouba um token do IAM de longo prazo de um usuário da AWS.
  2. Logo após, usa o token para determinar funções e privilégios associados a ele.
  3. O agente cria um novo usuário do IAM com um token AKIA de longo prazo.
  4. Uso do token AKIA para criar vários novos tokens de curto prazo.
  5. O atacante usa os tokens de curto prazo para realizar ações maliciosas, como exfiltração de dados.

Para mitigar esse abuso de token da AWS, é recomendável implementar as seguintes medidas de segurança:

  • Registre dados de eventos do CloudTrail: O CloudTrail registra todas as chamadas de API feitas para a AWS. Isso pode ser usado para identificar atividades suspeitas, como a criação de novos usuários do IAM ou a emissão de tokens STS.

  • Detecte eventos de encadeamento de funções e abuso de MFA: As funções do IAM podem ser usadas para encadear chamadas de API. Isso significa que um token STS pode ser usado para conceder acesso a um recurso que o usuário não teria acesso por conta própria. O abuso de MFA ocorre quando um usuário tenta autenticar com MFA sem fornecer o código de autenticação correto.

  • Rotacionar chaves de acesso de usuário do IAM de longo prazo: As chaves de acesso de usuário do IAM de longo prazo devem ser giradas periodicamente para reduzir o risco de comprometimento.


Conclusão

O AWS STS é uma ferramenta poderosa que pode ajudar a proteger as contas da AWS contra ataques. No entanto, é importante implementar as medidas de segurança adequadas para mitigar o risco de abuso de tokens STS.

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui

Inscreva-se para mais como este.

Enter your email
Subscribe