GCP - KMS Privesc
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Información sobre KMS:
GCP - KMS EnumTen en cuenta que en KMS los permisos no solo son heredados de Organizaciones, Carpetas y Proyectos, sino también de Keyrings.
cloudkms.cryptoKeyVersions.useToDecrypt
Puedes usar este permiso para desencriptar información con la clave sobre la que tienes este permiso.
cloudkms.cryptoKeys.setIamPolicy
Un atacante con este permiso podría darse permisos para usar la clave para descifrar información.
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
Aquí hay un desglose conceptual de cómo funciona esta delegación:
La Cuenta de Servicio A tiene acceso directo para descifrar utilizando una clave específica en KMS.
La Cuenta de Servicio B recibe el permiso useToDecryptViaDelegation
. Esto le permite solicitar a KMS que descifre datos en nombre de la Cuenta de Servicio A.
El uso de este permiso es implícito en la forma en que el servicio KMS verifica los permisos cuando se realiza una solicitud de descifrado.
Cuando haces una solicitud de descifrado estándar utilizando la API de Google Cloud KMS (en Python u otro lenguaje), el servicio verifica si la cuenta de servicio solicitante tiene los permisos necesarios. Si la solicitud es realizada por una cuenta de servicio con el permiso useToDecryptViaDelegation
, KMS verifica si esta cuenta tiene permitido solicitar el descifrado en nombre de la entidad que posee la clave.
Definir el Rol Personalizado: Crea un archivo YAML (por ejemplo, custom_role.yaml
) que defina el rol personalizado. Este archivo debe incluir el permiso cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
. Aquí hay un ejemplo de cómo podría verse este archivo:
Crea el Rol Personalizado Usando el gcloud CLI: Usa el siguiente comando para crear el rol personalizado en tu proyecto de Google Cloud:
Reemplace [YOUR_PROJECT_ID]
con su ID de proyecto de Google Cloud.
Otorgar el Rol Personalizado a una Cuenta de Servicio: Asigne su rol personalizado a una cuenta de servicio que utilizará este permiso. Use el siguiente comando:
Reemplace [YOUR_PROJECT_ID]
y [SERVICE_ACCOUNT_EMAIL]
con su ID de proyecto y el correo electrónico de la cuenta de servicio, respectivamente.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)