Pesquisadores da Red Canary, alertaram que atores de ameaças podem explorar o Amazon Web Services Security Token Service (AWS STS) como um meio de infiltrar contas na nuvem e realizar ataques subsequentes.

O AWS STS é um serviço web que permite aos usuários solicitar credenciais temporárias e de privilégios limitados para acessar recursos da AWS sem a necessidade de criar uma identidade AWS. Esses tokens STS podem ser válidos de 15 minutos a 36 horas.

Os atores de ameaças podem roubar tokens IAM de longo prazo por meio de métodos como infecções por malware, credenciais expostas publicamente e e-mails de phishing, usando-os posteriormente para determinar funções e privilégios associados a esses tokens por meio de chamadas de API.

Dependendo do nível de permissão do token, os adversários também podem usá-lo para criar usuários IAM adicionais com tokens AKIA de longo prazo para garantir persistência, caso seu token AKIA inicial e todos os tokens ASIA de curto prazo gerados sejam descobertos e revogados.

Na próxima etapa, um token STS autenticado por MFA é usado para criar vários novos tokens de curto prazo, seguido de ações de pós-exploração, como exfiltração de dados. Para mitigar tal abuso de tokens AWS, recomenda-se registrar dados de eventos do CloudTrail, detectar eventos de encadeamento de funções e abuso de MFA, e rotacionar chaves de acesso de usuário IAM de longo prazo.

Os pesquisadores enfatizaram que o AWS STS é um controle de segurança crítico para limitar o uso de credenciais estáticas e a duração do acesso dos usuários em toda a infraestrutura de nuvem. No entanto, sob certas configurações IAM comuns em muitas organizações, os adversários também podem criar e abusar desses tokens STS para acessar recursos na nuvem e realizar ações maliciosas.