Avertissement : AWS IAM se comporte différemment des services d’annuaire

Des chercheurs de la société de sécurité israélienne Lightspin ont identifié un problème avec la configuration des services d’identité et de contrôle d’accès sur Amazon Web Services (AWS) qui pourrait rendre de nombreuses organisations vulnérables aux attaques.

Les questions soulevées illustrent non seulement combien il est facile de mal configurer AWS, mais mettent également en évidence un écart entre les déploiements actifs matures d’annuaire et la façon de migrer vers les architectures informatique natives du cloud.

Lightspin a déclaré qu’il avait découvert que les règles de gestion de l’identité et de l’accès d’AWS (IAM) ne fonctionnent pas de la même manière que les règles de Microsoft Active Directory pour la sécurité basée sur Windows ou d’autres mécanismes d’autorisation.

Dans un billet de blog décrivant les risques, CTO ou Azarzar a décrit comment un administrateur de sécurité peut configurer des autorisations explicites pour les groupes Windows, qui ne peuvent pas être remplacées par les utilisateurs de ce groupe. « Nous examinons ensuite IAM, où ce n’est pas le cas », a-t-il dit.

Cela signifie que même si l’administrateur configure explicitement le groupe pour refuser l’accès à certaines personnes, la configuration n’affecte que les actions de groupe et non les membres du groupe. L’implication de politiques de groupe ne se propageant pas aux utilisateurs individuels ouvre les organisations à une mauvaise configuration et à des vulnérabilités, a averti M. Azarzar.

Le risque est que les administrateurs de sécurité peuvent supposer à tort que le processus de configuration d’IAM sur AWS est le même que pour Active Directory sur Windows.

Cet écart entre les stratégies utilisateur et groupe d’AWS IAM pourrait être exploité par un attaquant pour prendre en charge des comptes, supprimer des membres du groupe, voler des données et arrêter les services. Lightspin a affirmé que son équipe de recherche a été en mesure de compromettre des dizaines de comptes en utilisant cette technique.

AWS a déclaré que l’approche qu’il adopte dans IAM est par conception, et non pas une erreur. AWS traite les groupes comme des objets distincts. Un porte-parole que cela signifie IAM ne traite pas un utilisateur comme faisant partie d’un groupe quand il s’agit de nier les règles.

Les différences entre AWS IAM et Active Directory signifient que les organisations doivent prêter une attention particulière lors de la reproduction des règles.

À partir d’un sondage de paille mené par Lightspin, la majorité des organisations n’avaient pas tenu compte de la façon différente dont AWS IAM se comporte par rapport à Active Directory, ce qui suggère que la plupart des entreprises doivent examiner de près leur identité AWS et leurs contrôles d’accès.

« Au départ, nous pensions que cette vulnérabilité était un cas isolé », a déclaré Vladi Sandler, PDG de Lightspin. « Toutefois, après une enquête plus approfondie, nous avons constaté que, dans de nombreux cas, les utilisateurs pouvaient effectuer des actions qui, selon les administrateurs du système, étaient refusées lorsqu’ils configurent des configurations de sécurité de groupe. Cela rend les comptes des utilisateurs qui étaient censés être sûrs, faciles à infiltrer.

Lightspin a constaté que la moitié des organisations contactées avaient des configurations IAM AWS incorrectes, qui pourraient être compromises si le compte d’un utilisateur était piraté.

L’industrie informatique reconnaît généralement la difficulté de migrer un déploiement actif d’annuaires actifs mature sur place vers le cloud public. Le transfert de profils d’utilisateurs et le maintien des contrôles d’accès et de stratégie peuvent être chargés d’erreurs. L’exemple de Lightspin illustre à quel point une hypothèse migratoire peut facilement mettre les organisations en danger.

La société a développé un scanner open-source qui signale quand les autorisations des utilisateurs sont vaguement définies, ouvrant une voie d’attaque pour les pirates.