Az - Storage Privesc

Storage Privesc

Für weitere Informationen über Storage siehe:

Microsoft.Storage/storageAccounts/listkeys/action

Ein Principal mit dieser Berechtigung kann die Zugriffsschlüssel der Speicherkonten auflisten (und die geheimen Werte). Dies ermöglicht es dem Principal, seine Berechtigungen über die Speicherkonten zu eskalieren.

Microsoft.Storage/storageAccounts/regenerateKey/action

Ein Principal mit dieser Berechtigung kann die Zugriffsschlüssel der Speicherkonten erneuern und den neuen geheimen Wert abrufen. Dies ermöglicht es dem Principal, seine Berechtigungen über die Speicherkonten zu eskalieren.

Darüber hinaus erhält der Benutzer in der Antwort den Wert des erneuerten Schlüssels sowie den des nicht erneuerten:

Microsoft.Storage/storageAccounts/write

Ein Principal mit dieser Berechtigung kann ein vorhandenes Speicherkonto erstellen oder aktualisieren und dabei jede Einstellung wie Netzwerkregeln oder Richtlinien ändern.

Blobs spezifische Privilegieneskalation

Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/write | Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/delete

Die erste Berechtigung erlaubt es, Unveränderlichkeitspolitiken in Containern zu ändern und die zweite, sie zu löschen.

Dateifreigaben spezifische Privilegieneskalation

Microsoft.Storage/storageAccounts/fileServices/takeOwnership/action

Dies sollte einem Benutzer mit dieser Berechtigung ermöglichen, das Eigentum an Dateien im gemeinsamen Dateisystem zu übernehmen.

Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action

Dies sollte einem Benutzer mit dieser Berechtigung ermöglichen, die Berechtigungen von Dateien im gemeinsamen Dateisystem zu ändern.

Microsoft.Storage/storageAccounts/fileServices/fileshares/files/actassuperuser/action

Dies sollte einem Benutzer mit dieser Berechtigung ermöglichen, Aktionen innerhalb eines Dateisystems als Superuser auszuführen.

Microsoft.Storage/storageAccounts/localusers/write (Microsoft.Storage/storageAccounts/localusers/read)

Mit dieser Berechtigung kann ein Angreifer einen neuen lokalen Benutzer für ein Azure Storage-Konto (konfiguriert mit hierarchischem Namensraum) erstellen und aktualisieren (wenn er die Microsoft.Storage/storageAccounts/localusers/read Berechtigung hat), einschließlich der Angabe der Berechtigungen und des Heimatverzeichnisses des Benutzers. Diese Berechtigung ist bedeutend, da sie dem Angreifer ermöglicht, sich selbst ein Speicher-Konto mit spezifischen Berechtigungen wie Lesen (r), Schreiben (w), Löschen (d) und Auflisten (l) und mehr zu gewähren. Zusätzlich können die Authentifizierungsmethoden, die dies verwendet, von Azure generierte Passwörter und SSH-Schlüsselpaare sein. Es gibt keine Überprüfung, ob ein Benutzer bereits existiert, sodass Sie andere Benutzer, die bereits vorhanden sind, überschreiben können. Der Angreifer könnte seine Privilegien eskalieren und SSH-Zugriff auf das Speicher-Konto erhalten, was potenziell sensible Daten offenlegen oder gefährden könnte.

Microsoft.Storage/storageAccounts/localusers/regeneratePassword/action

Mit dieser Berechtigung kann ein Angreifer das Passwort für einen lokalen Benutzer in einem Azure Storage-Konto regenerieren. Dies gewährt dem Angreifer die Möglichkeit, neue Authentifizierungsanmeldeinformationen (wie ein SSH- oder SFTP-Passwort) für den Benutzer zu erhalten. Durch die Nutzung dieser Anmeldeinformationen könnte der Angreifer unbefugten Zugriff auf das Storage-Konto erlangen, Dateiübertragungen durchführen oder Daten innerhalb der Speicherkonten manipulieren. Dies könnte zu Datenlecks, Korruption oder böswilliger Modifikation des Inhalts des Storage-Kontos führen.

Um auf Azure Blob Storage über SFTP mit einem lokalen Benutzer zuzugreifen, können Sie (Sie können auch einen SSH-Schlüssel zur Verbindung verwenden):

Microsoft.Storage/storageAccounts/restoreBlobRanges/action, Microsoft.Storage/storageAccounts/blobServices/containers/read, Microsoft.Storage/storageAccounts/read && Microsoft.Storage/storageAccounts/listKeys/action

Mit diesen Berechtigungen kann ein Angreifer einen gelöschten Container wiederherstellen, indem er dessen gelöschte Versions-ID angibt, oder spezifische Blobs innerhalb eines Containers wiederherstellen, wenn sie zuvor weich gelöscht wurden. Diese Privilegieneskalation könnte es einem Angreifer ermöglichen, sensible Daten wiederherzustellen, die dauerhaft gelöscht werden sollten, was potenziell zu unbefugtem Zugriff führen könnte.

Andere interessant aussehende Berechtigungen (TODO)

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action: Ändert den Besitz des Blobs

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action: Ändert die Berechtigungen des Blobs

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action: Gibt das Ergebnis des Blob-Befehls zurück

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action

Referenzen