Az - Service Bus Post Exploitation

Service Bus

Für weitere Informationen siehe:

Aktionen: Microsoft.ServiceBus/namespaces/Delete

Ein Angreifer mit dieser Berechtigung kann einen gesamten Azure Service Bus-Namespace löschen. Diese Aktion entfernt den Namespace und alle zugehörigen Ressourcen, einschließlich Warteschlangen, Themen, Abonnements und deren Nachrichten, was zu weitreichenden Störungen und permanentem Datenverlust in allen abhängigen Systemen und Workflows führt.

az servicebus namespace delete --resource-group <ResourceGroupName> --name <NamespaceName>

Aktionen: Microsoft.ServiceBus/namespaces/topics/Delete

Ein Angreifer mit dieser Berechtigung kann ein Azure Service Bus-Thema löschen. Diese Aktion entfernt das Thema sowie alle zugehörigen Abonnements und Nachrichten, was potenziell zu einem Verlust kritischer Daten führen und Systeme sowie Arbeitsabläufe, die auf das Thema angewiesen sind, stören kann.

az servicebus topic delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>

Aktionen: Microsoft.ServiceBus/namespaces/queues/Delete

Ein Angreifer mit dieser Berechtigung kann eine Azure Service Bus-Warteschlange löschen. Diese Aktion entfernt die Warteschlange und alle darin enthaltenen Nachrichten, was möglicherweise zu einem Verlust kritischer Daten führt und Systeme sowie Arbeitsabläufe, die von der Warteschlange abhängen, stört.

az servicebus queue delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>

Aktionen: Microsoft.ServiceBus/namespaces/topics/subscriptions/Delete

Ein Angreifer mit dieser Berechtigung kann ein Azure Service Bus-Abonnement löschen. Diese Aktion entfernt das Abonnement und alle zugehörigen Nachrichten, was potenziell Arbeitsabläufe, Datenverarbeitung und Systemoperationen, die auf das Abonnement angewiesen sind, stören kann.

az servicebus topic subscription delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>

Aktionen: Microsoft.ServiceBus/namespaces/write & Microsoft.ServiceBus/namespaces/read

Ein Angreifer mit Berechtigungen zum Erstellen oder Ändern von Azure Service Bus-Namensräumen kann dies ausnutzen, um den Betrieb zu stören, unautorisierte Ressourcen bereitzustellen oder sensible Daten offenzulegen. Sie können kritische Konfigurationen ändern, wie z.B. den Zugriff auf öffentliche Netzwerke zu aktivieren, Verschlüsselungseinstellungen herabzustufen oder SKUs zu ändern, um die Leistung zu verschlechtern oder die Kosten zu erhöhen. Darüber hinaus könnten sie die lokale Authentifizierung deaktivieren, Replikationsstandorte manipulieren oder TLS-Versionen anpassen, um die Sicherheitskontrollen zu schwächen, was die Fehlkonfiguration von Namensräumen zu einem erheblichen Risiko nach der Ausnutzung macht.

az servicebus namespace create --resource-group <ResourceGroupName> --name <NamespaceName> --location <Location>
az servicebus namespace update --resource-group <ResourceGroupName> --name <NamespaceName> --tags <Key=Value>

Aktionen: Microsoft.ServiceBus/namespaces/queues/write (Microsoft.ServiceBus/namespaces/queues/read)

Ein Angreifer mit Berechtigungen zum Erstellen oder Ändern von Azure Service Bus-Warteschlangen (um die Warteschlange zu ändern, benötigen Sie auch die Aktion: Microsoft.ServiceBus/namespaces/queues/read) kann dies ausnutzen, um Daten abzufangen, Arbeitsabläufe zu stören oder unbefugten Zugriff zu ermöglichen. Sie können kritische Konfigurationen ändern, wie das Weiterleiten von Nachrichten an bösartige Endpunkte, das Anpassen der Nachrichten-TTL, um Daten unangemessen zu behalten oder zu löschen, oder das Aktivieren von Dead-Lettering, um die Fehlerbehandlung zu stören. Darüber hinaus könnten sie Warteschlangen Größen, Sperrdauern oder Status manipulieren, um die Funktionalität des Dienstes zu stören oder der Erkennung zu entkommen, was dies zu einem erheblichen Risiko nach der Ausnutzung macht.

az servicebus queue create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
az servicebus queue update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>

Aktionen: Microsoft.ServiceBus/namespaces/topics/write (Microsoft.ServiceBus/namespaces/topics/read)

Ein Angreifer mit Berechtigungen zum Erstellen oder Ändern von Themen (um das Thema zu ändern, benötigen Sie auch die Aktion: Microsoft.ServiceBus/namespaces/topics/read) innerhalb eines Azure Service Bus-Namensraums kann dies ausnutzen, um Nachrichten-Workflows zu stören, sensible Daten offenzulegen oder unbefugte Aktionen zu ermöglichen. Mit Befehlen wie az servicebus topic update können sie Konfigurationen manipulieren, wie z.B. das Aktivieren von Partitionierung für Missbrauch der Skalierbarkeit, das Ändern von TTL-Einstellungen, um Nachrichten unangemessen zu behalten oder zu verwerfen, oder das Deaktivieren der Duplikaterkennung, um Kontrollen zu umgehen. Darüber hinaus könnten sie die Themen-Größenbeschränkungen anpassen, den Status ändern, um die Verfügbarkeit zu stören, oder Express-Themen konfigurieren, um vorübergehend abgefangene Nachrichten zu speichern, wodurch das Management von Themen ein kritischer Fokus für die Minderung nach der Ausnutzung wird.

az servicebus topic create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
az servicebus topic update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>

Aktionen: Microsoft.ServiceBus/namespaces/topics/subscriptions/write (Microsoft.ServiceBus/namespaces/topics/subscriptions/read)

Ein Angreifer mit Berechtigungen zum Erstellen oder Ändern von Abonnements (um das Abonnement zu ändern, benötigen Sie auch die Aktion: Microsoft.ServiceBus/namespaces/topics/subscriptions/read) innerhalb eines Azure Service Bus-Themen kann dies ausnutzen, um Nachrichten-Workflows abzufangen, umzuleiten oder zu stören. Mit Befehlen wie az servicebus topic subscription update können sie Konfigurationen manipulieren, wie das Aktivieren von Dead Lettering, um Nachrichten umzuleiten, Nachrichten an unbefugte Endpunkte weiterzuleiten oder TTL- und Sperrdauer zu ändern, um die Zustellung von Nachrichten zu behalten oder zu stören. Darüber hinaus können sie Status- oder maximale Zustellanzahl-Einstellungen ändern, um den Betrieb zu stören oder der Erkennung zu entkommen, was die Kontrolle über Abonnements zu einem kritischen Aspekt von Post-Exploitation-Szenarien macht.

az servicebus topic subscription create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
az servicebus topic subscription update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>

Aktionen: AuthorizationRules Nachrichten senden & empfangen

Schau dir das hier an:

Referenzen

• https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues

• https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api

• https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes

• https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-python-how-to-use-topics-subscriptions?tabs=passwordless

• https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/integration#microsoftservicebus

• https://learn.microsoft.com/en-us/cli/azure/servicebus/namespace?view=azure-cli-latest

• https://learn.microsoft.com/en-us/cli/azure/servicebus/queue?view=azure-cli-latest