vectorfusionart - stock.adobe.co
Zunehmende Gefahr durch Rechteausweitung in der Cloud
Neue Umfragen zeigen, dass viele Angriffe auf die Cloud mit Hilfe von gestohlenen Accounts durchgeführt werden. Teilweise gelingt es den Hackern sogar, Admin-Rechte zu erlangen.
56 Prozent der Teilnehmer an einer Umfrage des renommierten SANS Institutes fürchten sich vor allem vor nicht autorisierten Zugriffen auf ihre in der Cloud gespeicherten Daten. Rund 10,5 Prozent der für die SANS 2019 Cloud Security Survey Befragten mussten solche Angriffe sogar schon einmal erleben. 49 Prozent der Betroffenen nannten die Übernahme von Nutzerkonten durch externe Angreifer als wesentlichen Bestandteil der Attacken, weitere 38 Prozent gaben an, dass dabei Nutzer-Accounts mit erweiterten Rechten beteiligt waren.
Die Zahlen belegen, dass Angriffe auf Cloud-Infrastrukturen oft mit dem Missbrauch von Nutzerkonten und den ihnen zugewiesenen Rechten zusammenhängen. Außerdem zeigen sie, dass die meisten Eindringlinge versuchen, sich möglichst weitere Zugriffsrechte zu verschaffen, um auf sensible Daten in der Cloud zuzugreifen oder um andere für das betroffene Unternehmen schädliche Aktionen durchzuführen. Unglücklicherweise gibt es heutzutage viele Möglichkeiten, um diese Privilege-Escalation-Angriffe durchzuführen.
Wie sich Angreifer erweiterte Rechte in der Cloud verschaffen
Die Eskalation von Rechten in der Cloud durch Angreifer kann auf mehrere Arten erfolgen. Im Folgenden finden Sie drei Beispiele für diese Art von Attacken:
Fehler bei der Konfiguration der IAM-Richtlinien
Zu den häufigsten Taktiken, mit denen sich ein Angreifer weitere Rechte in fremden Cloud-Umgebungen verschaffen kann, gehört der Missbrauch von zu laxen Richtlinien für Zugriffe und Identitäten in der Cloud. Das gilt sowohl für Nutzer als auch für Dienste. Im Juni 2018 entdeckten Sicherheitsexperten von Rhino Security Labs eine erschreckend hohe Zahl von funktionierenden Methoden, um sich innerhalb von AWS (Amazon Web Services) weitere Rechte zu verschaffen. Dabei erstellten die Forscher unter anderem eigene Richtlinien oder manipulierten fremde Policies, änderten Profile, griffen in die Serverless-Plattform AWS Lambda ein, veränderten die Rollen in DevOps-Tools und demonstrierten darüber hinaus noch viele weitere Angriffstechniken.
Ein Teil der dabei genutzten, nur mangelhaft abgesicherten Policies können direkt auf Storage Nodes und andere Objekte in der Cloud übertragen werden. So zeigte bereits 2017 ein Team von Detectify wie vergleichbare Angriffe gegen Amazon S3 Buckets durchgeführt werden können. Die Mitarbeiter von Rhino Security Labs verwendeten ähnliche Angriffstechniken gegen Buckets in der Cloud Plattform von Google, die ebenfalls auf ungenügend gesicherten Rechten basierten. Bei beiden Vorfällen wurden Nutzer-Accounts verwendet, die eigentlich mit nur wenigen Rechten ausgestattet waren, mit denen aber nach einer Privilege Escalation die Policies für Buckets und andere Objekte verändert werden konnten. In manchen Fällen war es sogar möglich, bestimmte Richtlinien anzupassen oder komplett mit deutlich weniger restriktiven Varianten zu ersetzen.
Manipulation der APIs
In den meisten Cloud-Umgebungen gibt es viele Programmierschnittstellen (Application Programming Interfaces, APIs), die ebenfalls zur Eskalation von Rechten missbraucht werden können. Ein Beispiel dafür ist der Metadaten-Dienst von AWS, der von einer laufenden EC2-Instanz aus aufgerufen werden kann. Wenn in der Instanz eine IAM-Rolle festgelegt wurde, kann jeder Angreifer, der sich Zugriff darauf verschafft hat, damit Befehle auf der Kommandozeile von AWS ausführen. Sie sind zwar auf die Rechte der jeweiligen Rolle beschränkt. Nichtsdestotrotz lassen sich damit Attacken gegen andere AWS-Dienste ausführen.
So kann zum Beispiel ein Angreifer die kompromittierte EC2-Instanz nutzen, um unter anderem auf Objekte in S3 oder im Relational Database Service zuzugreifen. Eventuell sind auch noch weitere APIs vorhanden, um zum Beispiel die Orchestrierung der Container oder andere Dienste in der Cloud zu manipulieren.
Im vergangenen Jahr entdeckten Sicherheitsforscher von RedLock, dass die vom Automobilhersteller Tesla für Kubernetes genutzten APIs frei zugänglich waren. Ein Angreifer konnte dies ausnutzen, um eigene Container zu erstellen, die dann etwa für das Schürfen nach Krypto-Währungen verwendet werden konnten.
Schwachstellen bei den Cloud-Anbietern
Auch wenn es nicht zu den am häufigsten verwendeten Methoden zur Erlangung neuer Zugriffsrechte in der Cloud gehört, treten doch immer wieder auch Schwachstellen bei den Providern auf, mit denen sich ein Angreifer zusätzliche Rollen und sogar administrative Rechte verschaffen kann. 2017 musste etwa Microsoft ein Sicherheitsloch in dem Synchronisations-Tool Azure AD Connect schließen, mit dem Azure-Admins das Passwort eines beliebigen AD-Nutzers zurücksetzen konnten. Das konnte ausgenutzt werden, um den manipulierten Account zu übernehmen. Ein anderer Bug in Azure AD Connect, der erst im Mai 2019 bekannt wurde, ermöglichte die Ausführung von PowerShell-Skripten aus der Ferne. Damit konnten auch Aktionen durchgeführt werden, für die eigentlich administrative Rechte erforderlich waren.
Maßnahmen zur Verhinderung von Privilege Escalation in der Cloud
Betroffenen Unternehmen stehen eine Reihe von Möglichkeiten zur Verfügung, um Angriffe via Privilege Escalation gegen ihre Cloud-Umgebungen zu erkennen und zu verhindern. Zu den wichtigsten Maßnahmen gehört, kontinuierlich alle Veröffentlichungen über Schwachstellen bei den Providern zu überwachen, die zum Missbrauch von Rechten genutzt werden können. Sofern verfügbar, sollten dann sofort alle erforderlichen Notfall-Patches eingespielt werden. Diese Aufgabe lässt sich in der Regel mit den meist bereits vorhandenen Lösungen zum Management von Schwachstellen und Patches durchführen.
Darüber hinaus sollten regelmäßige Kontrollen und Audits der aktuellen IAM-Policies und -Rollen innerhalb der eingesetzten Cloud-Umgebungen erfolgen. Rhino Security Labs hat beispielsweise ein Penetration-Tool mit dem Namen aws_escalate veröffentlicht. Mit ihm lassen sich AWS-Umgebungen auf Sicherheitslöcher überprüfen. Das Tool identifiziert Richtlinien, die für Privilege Escalation genutzt werden können. Weitere Werkzeuge stammen von zum Beispiel RedLock – das Unternehmen ist mittlerweile Teil von Palo Alto Networks – und von CloudCheckr. Sie dienen dazu, die Konfiguration der jeweiligen Cloud-Umgebung zu überprüfen. Aber auch die größeren Cloud-Provider bieten Lösungen für diesen Zweck an. Von AWS stammt etwa der Trusted Advisor und von Microsoft das Azure Security Center.
Nicht zuletzt sollten Sie Ihre Cloud-Infrastrukturen auch auf öffentlich zugängliche APIs prüfen. Dafür können Sie zum Beispiel traditionelle Netzwerk-Scanner wie Shodan einsetzen. Aber auch auf verdächtigen Netzwerk-Traffic oder suspekte Aktivitäten der Anwender sollten Sie ein Augenmerk haben.