Az - Queue Storage Privesc

Queue

Για περισσότερες πληροφορίες ελέγξτε:

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/read

Ένας επιτιθέμενος με αυτή την άδεια μπορεί να δει μηνύματα από μια Azure Storage Queue. Αυτό επιτρέπει στον επιτιθέμενο να δει το περιεχόμενο των μηνυμάτων χωρίς να τα σημειώσει ως επεξεργασμένα ή να αλλάξει την κατάσταση τους. Αυτό θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες, επιτρέποντας την εξαγωγή δεδομένων ή τη συλλογή πληροφοριών για περαιτέρω επιθέσεις.

az storage message peek --queue-name <queue_name> --account-name <storage_account>

Πιθανές Επιπτώσεις: Μη εξουσιοδοτημένη πρόσβαση στην ουρά, έκθεση μηνυμάτων ή χειρισμός της ουράς από μη εξουσιοδοτημένους χρήστες ή υπηρεσίες.

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action

Με αυτή την άδεια, ένας επιτιθέμενος μπορεί να ανακτήσει και να επεξεργαστεί μηνύματα από μια Azure Storage Queue. Αυτό σημαίνει ότι μπορούν να διαβάσουν το περιεχόμενο του μηνύματος και να το σημειώσουν ως επεξεργασμένο, κρύβοντάς το αποτελεσματικά από τα νόμιμα συστήματα. Αυτό θα μπορούσε να οδηγήσει σε έκθεση ευαίσθητων δεδομένων, διαταραχές στον τρόπο που διαχειρίζονται τα μηνύματα ή ακόμη και να σταματήσει σημαντικές ροές εργασίας καθιστώντας τα μηνύματα μη διαθέσιμα στους προορισμένους χρήστες τους.

az storage message get --queue-name <queue_name> --account-name <storage_account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action

Με αυτή την άδεια, ένας επιτιθέμενος μπορεί να προσθέσει νέα μηνύματα σε μια Azure Storage Queue. Αυτό τους επιτρέπει να εισάγουν κακόβουλα ή μη εξουσιοδοτημένα δεδομένα στην ουρά, ενδεχομένως προκαλώντας μη προγραμματισμένες ενέργειες ή διαταράσσοντας τις υπηρεσίες που επεξεργάζονται τα μηνύματα.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

Αυτή η άδεια επιτρέπει σε έναν επιτιθέμενο να προσθέσει νέα μηνύματα ή να ενημερώσει υπάρχοντα σε μια Azure Storage Queue. Χρησιμοποιώντας αυτό, θα μπορούσαν να εισάγουν επιβλαβές περιεχόμενο ή να τροποποιήσουν υπάρχοντα μηνύματα, ενδεχομένως παραπλανώντας εφαρμογές ή προκαλώντας ανεπιθύμητες συμπεριφορές σε συστήματα που βασίζονται στην ουρά.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

#Update the message
az storage message update --queue-name <queue-name> \
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>

Δράση: Microsoft.Storage/storageAccounts/queueServices/queues/write

Αυτή η άδεια επιτρέπει σε έναν επιτιθέμενο να δημιουργήσει ή να τροποποιήσει ουρές και τις ιδιότητές τους εντός του λογαριασμού αποθήκευσης. Μπορεί να χρησιμοποιηθεί για τη δημιουργία μη εξουσιοδοτημένων ουρών, την τροποποίηση μεταδεδομένων ή την αλλαγή λιστών ελέγχου πρόσβασης (ACLs) για να παραχωρήσει ή να περιορίσει την πρόσβαση. Αυτή η δυνατότητα θα μπορούσε να διαταράξει τις ροές εργασίας, να εισάγει κακόβουλα δεδομένα, να εξάγει ευαίσθητες πληροφορίες ή να χειριστεί τις ρυθμίσεις της ουράς για να επιτρέψει περαιτέρω επιθέσεις.

az storage queue create --name <new-queue-name> --account-name <storage-account>

az storage queue metadata update --name <queue-name> --metadata key1=value1 key2=value2 --account-name <storage-account>

az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>

Αναφορές

• https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues

• https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api

• https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes