Az - Queue Storage Privesc

Queue

Para más información, consulta:

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/read

Un atacante con este permiso puede ver mensajes de una Cola de Almacenamiento de Azure. Esto permite al atacante ver el contenido de los mensajes sin marcarlos como procesados o alterar su estado. Esto podría llevar a un acceso no autorizado a información sensible, permitiendo la exfiltración de datos o la recopilación de inteligencia para ataques posteriores.

az storage message peek --queue-name <queue_name> --account-name <storage_account>

Impacto Potencial: Acceso no autorizado a la cola, exposición de mensajes o manipulación de la cola por usuarios o servicios no autorizados.

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action

Con este permiso, un atacante puede recuperar y procesar mensajes de una Cola de Almacenamiento de Azure. Esto significa que pueden leer el contenido del mensaje y marcarlo como procesado, ocultándolo efectivamente de los sistemas legítimos. Esto podría llevar a la exposición de datos sensibles, interrupciones en la forma en que se manejan los mensajes, o incluso detener flujos de trabajo importantes al hacer que los mensajes no estén disponibles para sus usuarios previstos.

az storage message get --queue-name <queue_name> --account-name <storage_account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action

Con este permiso, un atacante puede agregar nuevos mensajes a una Cola de Almacenamiento de Azure. Esto les permite inyectar datos maliciosos o no autorizados en la cola, lo que podría desencadenar acciones no deseadas o interrumpir servicios posteriores que procesan los mensajes.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

Este permiso permite a un atacante agregar nuevos mensajes o actualizar los existentes en una Azure Storage Queue. Al usar esto, podrían insertar contenido dañino o alterar mensajes existentes, potencialmente engañando a las aplicaciones o causando comportamientos no deseados en los sistemas que dependen de la cola.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

#Update the message
az storage message update --queue-name <queue-name> \
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>

Acción: Microsoft.Storage/storageAccounts/queueServices/queues/write

Este permiso permite a un atacante crear o modificar colas y sus propiedades dentro de la cuenta de almacenamiento. Se puede utilizar para crear colas no autorizadas, modificar metadatos o cambiar listas de control de acceso (ACLs) para otorgar o restringir acceso. Esta capacidad podría interrumpir flujos de trabajo, inyectar datos maliciosos, exfiltrar información sensible o manipular configuraciones de colas para habilitar ataques adicionales.

az storage queue create --name <new-queue-name> --account-name <storage-account>

az storage queue metadata update --name <queue-name> --metadata key1=value1 key2=value2 --account-name <storage-account>

az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>

Referencias

• https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues

• https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api

• https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes