GCP - Generic Permissions Privesc

Permissions Intéressantes Génériques

*.setIamPolicy

Si vous possédez un utilisateur qui a la permission setIamPolicy dans une ressource, vous pouvez escalader les privilèges dans cette ressource car vous pourrez modifier la politique IAM de cette ressource et vous donner plus de privilèges dessus. Cette permission peut également permettre de s'escalader vers d'autres principaux si la ressource permet d'exécuter du code et que iam.ServiceAccounts.actAs n'est pas nécessaire.

• cloudfunctions.functions.setIamPolicy

• Modifiez la politique d'une fonction Cloud pour vous permettre de l'invoquer.

Il existe des dizaines de types de ressources avec ce type de permission, vous pouvez les trouver tous sur https://cloud.google.com/iam/docs/permissions-reference en recherchant setIamPolicy.

*.create, *.update

Ces permissions peuvent être très utiles pour essayer d'escalader les privilèges dans les ressources en créant une nouvelle ou en mettant à jour une nouvelle. Ces types de permissions sont particulièrement utiles si vous avez également la permission iam.serviceAccounts.actAs sur un compte de service et que la ressource sur laquelle vous avez .create/.update peut attacher un compte de service.

*ServiceAccount*

Cette permission vous permettra généralement d'accéder ou de modifier un compte de service dans une ressource (par exemple : compute.instances.setServiceAccount). Cela pourrait conduire à un vecteur d'escalade de privilèges, mais cela dépendra de chaque cas.