Datum der Erstveröffentlichung: 25.04.2023 10:00 Uhr EST
Ein Sicherheitsforscher hat kürzlich ein Problem mit der vor Kurzem veröffentlichten Unterstützung von AWS (16. November 2022) für Geräte mit multipler Multi-Faktor-Authentifizierung (MFA) für IAM-Benutzerprinzipale gemeldet. Das gemeldete Problem hätte möglicherweise nur auftreten können, wenn die folgenden drei Bedingungen erfüllt waren: (1) Ein IAM-Benutzer verfügte über Anmeldeinformationen für den Langzeitzugriffsschlüssel (AK)/geheimen Schlüssel (SK), (2) dieser IAM-Benutzer hatte die Berechtigung, seiner eigenen Identität ein MFA hinzuzufügen, ohne ein MFA zu verwenden, und (3) die allgemeinen Zugriffsrechte des IAM-Benutzers über die Konsolenanmeldung hinaus wurden von einem Administrator so konfiguriert, dass sie nach dem Hinzufügen des MFA größer wären. Unter diesen engen Bedingungen entsprach der alleinige Besitz von AK/SK dem Besitz von AK/SK und einem zuvor konfigurierten MFA.
IAM-Benutzer, die ein mit ihrer eigenen Identität verknüpftes MFA-Gerät hinzufügen oder löschen konnten, waren zwar schon immer ausschließlich mit AK/SK-Anmeldeinformationen in der Lage, dies zu tun. Ein Problem trat jedoch auf, wenn die neue Funktion mit der Selbstverwaltung ihrer eigenen MFA-Geräte durch IAM-Benutzer kombiniert wurde, wobei der Zugriff eingeschränkt war, bevor ein MFA durch den Benutzer hinzugefügt wurde. Dieses Selbstverwaltungsmuster wurde hier dokumentiert, und diese Seite enthielt ein Beispiel für eine IAM-Richtlinie zur Implementierung des Musters. Die Kombination der neuen Multi-MFA-Funktion führte zu einer Inkonsistenz mit diesem Ansatz. Angesichts der neuen Funktion konnte ein Benutzer, der nur über AK/SK-Anmeldeinformationen verfügt, ein zusätzliches MFA hinzufügen, ohne ein zuvor konfiguriertes MFA zu verwenden. Auf diese Weise kann der alleinige Besitz von AK/SK ohne ein zuvor konfiguriertes MFA ermöglicht werden, um potenziell umfassenderen Zugriff zu erhalten, als von Kunden erwartet, die die Beispielrichtlinie verwenden.
Dieses Problem hatte keine Auswirkungen auf den Zugriff auf die AWS-Managementkonsole, da bei der Anmeldung immer ein vorhandenes MFA erforderlich ist. Dies hatte auch keine Auswirkungen auf Verbundprinzipale, die MFA über ihren Identitätsanbieter verwalten.
Am 21. April 2023 wurde das festgestellte Problem behoben, indem IAM-Benutzer, die bereits über ein oder mehrere MFAs verfügen und AK/SK-Anmeldeinformationen verwenden, um ihre eigenen MFA-Geräte zu verwalten, zunächst sts:GetSessionToken und ein vorhandenes MFA verwenden müssen, um MFA-fähige temporäre Anmeldeinformationen zu erhalten, um ihre CLI-Befehle oder API-Anfragen zu signieren, bevor sie MFA-Geräte für sich selbst aktivieren oder deaktivieren. Wir haben eine sehr kleine Anzahl von Kunden direkt über ihr Personal Health Dashboard informiert, die zuvor ein zusätzliches MFA-Gerät über einen anderen Mechanismus als die AWS-Managementkonsole verknüpft hatten. Wir haben den benachrichtigten Kunden empfohlen, die Richtigkeit ihrer MFA-Konfigurationen zu prüfen. Vonseiten der Kunden besteht kein Handlungsbedarf.
Wir möchten den Forschern von MWR Cybersec dafür danken, dass sie dieses Problem identifiziert und gegenüber AWS verantwortungsbewusst gemeldet haben. Bei Fragen zur Sicherheit oder diesbezüglichen Bedenken schreiben Sie uns an: aws-security@amazon.com.