Az - Storage Privesc

Storage Privesc

Pour plus d'informations sur le stockage, consultez :

Microsoft.Storage/storageAccounts/listkeys/action

Un principal avec cette permission pourra lister (et les valeurs secrètes) des clés d'accès des comptes de stockage. Cela permet au principal d'escalader ses privilèges sur les comptes de stockage.

az storage account keys list --account-name <acc-name>

Microsoft.Storage/storageAccounts/regenerateKey/action

Un principal avec cette permission pourra renouveler et obtenir la nouvelle valeur secrète des clés d'accès des comptes de stockage. Cela permet au principal d'escalader ses privilèges sur les comptes de stockage.

De plus, dans la réponse, l'utilisateur obtiendra la valeur de la clé renouvelée ainsi que celle de la clé non renouvelée :

az storage account keys renew --account-name <acc-name> --key key2

Microsoft.Storage/storageAccounts/write

Un principal avec cette autorisation pourra créer ou mettre à jour un compte de stockage existant en mettant à jour n'importe quel paramètre comme les règles réseau ou les politiques.

# e.g. set default action to allow so network restrictions are avoided
az storage account update --name <acc-name> --default-action Allow

# e.g. allow an IP address
az storage account update --name <acc-name> --add networkRuleSet.ipRules value=<ip-address>

Blobs Privesc Spécifique

Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/write | Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/delete

La première permission permet de modifier les politiques d'immuabilité dans les conteneurs et la seconde de les supprimer.

az storage container immutability-policy delete \
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--resource-group <RESOURCE_GROUP>

az storage container immutability-policy update \
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--resource-group <RESOURCE_GROUP> \
--period <NEW_RETENTION_PERIOD_IN_DAYS>

Privesc spécifique aux partages de fichiers

Microsoft.Storage/storageAccounts/fileServices/takeOwnership/action

Cela devrait permettre à un utilisateur ayant cette permission de pouvoir prendre possession des fichiers à l'intérieur du système de fichiers partagé.

Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action

Cela devrait permettre à un utilisateur ayant cette permission de pouvoir modifier les permissions des fichiers à l'intérieur du système de fichiers partagé.

Microsoft.Storage/storageAccounts/fileServices/fileshares/files/actassuperuser/action

Cela devrait permettre à un utilisateur ayant cette permission de pouvoir effectuer des actions à l'intérieur d'un système de fichiers en tant que superutilisateur.

Autres permissions intéressantes (À FAIRE)

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action: Change la propriété du blob

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action: Modifie les permissions du blob

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action: Renvoie le résultat de la commande blob

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action

Références

• https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/storage#microsoftstorage