Cyberkriminelle infiltrieren AWS Cloud-Konten

AWS STS ist ein Webservice, mit dem Benutzer ohne AWS-Identität temporäre Anmeldeinformationen mit eingeschränkten Rechten anfordern können, um auf AWS-Ressourcen zuzugreifen. Diese STS-Tokens können zwischen 15 Minuten und 36 Stunden gültig sein.

Angreifer können auf verschiedene Weisen IAM-Token langfristig stehlen, zum Beispiel durch Malware, öffentlich zugängliche Logindaten oder Phishing-E-Mails. Diese gestohlenen Tokens erlauben es ihnen dann, über API-Aufrufe zu bestimmen, welche Rollen und Berechtigungen mit diesen Tokens verbunden sind. „Abhängig von der Berechtigungsstufe des Tokens können Angreifer es nutzen, um neue IAM-Benutzer mit länger gültigen Zugriffsschlüsseln zu erstellen. Dadurch sichern sie ihre Zugriffsmöglichkeiten, falls das ursprüngliche Token und alle damit erstellten, kurzlebigen Zugriffsschlüssel entdeckt und deaktiviert werden.“ Das fanden IT-Experten des Unternehmens Red Canary heraus.

In der nächsten Phase verwenden die Angreifer ein spezielles, durch Multi-Faktor-Authentifizierung gesichertes STS-Token, um eine Reihe neuer kurzfristiger Tokens zu erstellen. Danach führen sie weitere Aktionen durch, zum Beispiel das Herausschleusen von Daten, nachdem sie in das System eingedrungen sind.

Um zu verhindern, dass AWS-Token missbraucht werden empfiehlt es sich, CloudTrail-Ereignisse aufzuzeichnen, nach Verknüpfungen von Rollen und MFA-Missbrauch zu suchen und die langfristigen Zugriffsschlüssel der IAM-Benutzer regelmäßig zu aktualisieren.

„AWS STS ist wichtig, um die Nutzung von statischen Anmeldeinformationen einzuschränken und die Zeit, in der Benutzer auf die Cloud zugreifen können, zu kontrollieren“, so Thomas Gradner und Cody Betsworth von Red Canary. „In einigen gängigen IAM-Einstellungen vieler Unternehmen können Angreifer trotzdem diese STS-Tokens erstellen und verwenden, um auf Cloud-Ressourcen zuzugreifen und bösartige Aktionen durchzuführen.