Az - Service Bus Post Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Para más información, consulta:
Az - Service BusMicrosoft.ServiceBus/namespaces/DeleteUn atacante con este permiso puede eliminar un espacio de nombres completo de Azure Service Bus. Esta acción elimina el espacio de nombres y todos los recursos asociados, incluidas colas, temas, suscripciones y sus mensajes, causando una interrupción generalizada y pérdida permanente de datos en todos los sistemas y flujos de trabajo dependientes.
Microsoft.ServiceBus/namespaces/topics/DeleteUn atacante con este permiso puede eliminar un tema de Azure Service Bus. Esta acción elimina el tema y todas sus suscripciones y mensajes asociados, lo que puede causar la pérdida de datos críticos y interrumpir sistemas y flujos de trabajo que dependen del tema.
Microsoft.ServiceBus/namespaces/queues/DeleteUn atacante con este permiso puede eliminar una cola de Azure Service Bus. Esta acción elimina la cola y todos los mensajes dentro de ella, lo que puede causar la pérdida de datos críticos y interrumpir sistemas y flujos de trabajo dependientes de la cola.
Microsoft.ServiceBus/namespaces/topics/subscriptions/DeleteUn atacante con este permiso puede eliminar una suscripción de Azure Service Bus. Esta acción elimina la suscripción y todos sus mensajes asociados, lo que puede interrumpir flujos de trabajo, procesamiento de datos y operaciones del sistema que dependen de la suscripción.
Microsoft.ServiceBus/namespaces/write & Microsoft.ServiceBus/namespaces/readUn atacante con permisos para crear o modificar espacios de nombres de Azure Service Bus puede explotar esto para interrumpir operaciones, desplegar recursos no autorizados o exponer datos sensibles. Pueden alterar configuraciones críticas como habilitar el acceso a la red pública, degradar la configuración de cifrado o cambiar SKUs para degradar el rendimiento o aumentar costos. Además, podrían deshabilitar la autenticación local, manipular ubicaciones de réplicas o ajustar versiones de TLS para debilitar los controles de seguridad, lo que convierte la mala configuración del espacio de nombres en un riesgo significativo de post-explotación.
Microsoft.ServiceBus/namespaces/queues/write (Microsoft.ServiceBus/namespaces/queues/read)Un atacante con permisos para crear o modificar colas de Azure Service Bus (para modificar la cola también necesitarás la Acción: Microsoft.ServiceBus/namespaces/queues/read) puede explotar esto para interceptar datos, interrumpir flujos de trabajo o habilitar acceso no autorizado. Pueden alterar configuraciones críticas como el reenvío de mensajes a puntos finales maliciosos, ajustar el TTL de los mensajes para retener o eliminar datos de manera inapropiada, o habilitar el dead-lettering para interferir con el manejo de errores. Además, podrían manipular los tamaños de las colas, las duraciones de bloqueo o los estados para interrumpir la funcionalidad del servicio o evadir la detección, lo que convierte esto en un riesgo significativo de post-explotación.
Microsoft.ServiceBus/namespaces/topics/write (Microsoft.ServiceBus/namespaces/topics/read)Un atacante con permisos para crear o modificar temas (para modificar el tema también necesitarás la Acción: Microsoft.ServiceBus/namespaces/topics/read) dentro de un espacio de nombres de Azure Service Bus puede explotar esto para interrumpir flujos de mensajes, exponer datos sensibles o habilitar acciones no autorizadas. Usando comandos como az servicebus topic update, pueden manipular configuraciones como habilitar la partición para un uso indebido de escalabilidad, alterar configuraciones de TTL para retener o descartar mensajes de manera inapropiada, o deshabilitar la detección de duplicados para eludir controles. Además, podrían ajustar los límites de tamaño del tema, cambiar el estado para interrumpir la disponibilidad, o configurar temas expresos para almacenar temporalmente mensajes interceptados, haciendo de la gestión de temas un enfoque crítico para la mitigación post-explotación.
Microsoft.ServiceBus/namespaces/topics/subscriptions/write (Microsoft.ServiceBus/namespaces/topics/subscriptions/read)Un atacante con permisos para crear o modificar suscripciones (para modificar la suscripción también necesitarás la Acción: Microsoft.ServiceBus/namespaces/topics/subscriptions/read) dentro de un tema de Azure Service Bus puede explotar esto para interceptar, redirigir o interrumpir flujos de mensajes. Usando comandos como az servicebus topic subscription update, pueden manipular configuraciones como habilitar el dead lettering para desviar mensajes, reenviar mensajes a puntos finales no autorizados, o modificar la duración de TTL y bloqueo para retener o interferir con la entrega de mensajes. Además, pueden alterar el estado o la configuración del conteo máximo de entregas para interrumpir operaciones o evadir la detección, haciendo que el control de suscripciones sea un aspecto crítico de los escenarios de post-explotación.
AuthorizationRules Enviar y Recibir MensajesMira aquí:
https://github.com/HackTricks-wiki/hacktricks-cloud/blob/es/pentesting-cloud/azure-security/az-services/az-queue-privesc.mdhttps://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes
https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-python-how-to-use-topics-subscriptions?tabs=passwordless
https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/integration#microsoftservicebus
https://learn.microsoft.com/en-us/cli/azure/servicebus/namespace?view=azure-cli-latest
https://learn.microsoft.com/en-us/cli/azure/servicebus/queue?view=azure-cli-latest
