Permisos de IAM en otros usuarios

El equipo de Bishop Fox profundizó en esta investigación, clasificando las técnicas de escalada de privilegios en cinco categorías clave, lo que proporciona una estructura para comprender y mitigar estos riesgos. Una de estas categorías se centra en los PERMISOS DE IAM EN OTROS USUARIOS, destacando el peligro inherente de otorgar a los usuarios la capacidad de alterar permisos o configuraciones de otros usuarios dentro de AWS.

La premisa subyacente es que, aunque la mayoría de los administradores de AWS están conscientes de los riesgos de permitir que un usuario modifique directamente los permisos de otro, especialmente para escalar privilegios, las políticas mal configuradas o demasiado amplias pueden tener efectos secundarios no deseados. Por ejemplo, una política que permite a un usuario con privilegios limitados cambiar la contraseña o las claves de acceso de un usuario con mayores privilegios, o añadir usuarios a grupos con acceso amplio, puede ser explotada para una escalación de privilegios.

Los permisos específicos de IAM que podrían ser abusados incluyen:

• iam:CreateAccessKey: Permite a un usuario crear nuevas claves de acceso para una cuenta, potencialmente otorgando acceso no autorizado.

• iam:CreateLoginProfile: Habilita la creación de un perfil de inicio de sesión para usuarios que no lo tienen, permitiendo establecer contraseñas para cuentas potencialmente más privilegiadas.

• iam:UpdateLoginProfile: Permite modificar el perfil de inicio de sesión de un usuario, incluida la contraseña, lo que puede ser utilizado para tomar el control de una cuenta de mayor privilegio.

• iam:AddUserToGroup: Facilita la adición de usuarios a grupos, lo cual puede ser explotado para otorgar a un usuario acceso a permisos y recursos que no debería tener.