Az - Storage Privesc

Storage Privesc

Per ulteriori informazioni sullo storage controlla:

Microsoft.Storage/storageAccounts/listkeys/action

Un principale con questo permesso sarà in grado di elencare (e i valori segreti) delle chiavi di accesso degli account di storage. Consentendo al principale di elevare i propri privilegi sugli account di storage.

az storage account keys list --account-name <acc-name>

Microsoft.Storage/storageAccounts/regenerateKey/action

Un principale con questo permesso sarà in grado di rinnovare e ottenere il nuovo valore segreto delle chiavi di accesso degli account di archiviazione. Consentendo al principale di elevare i propri privilegi sugli account di archiviazione.

Inoltre, nella risposta, l'utente riceverà il valore della chiave rinnovata e anche di quella non rinnovata:

az storage account keys renew --account-name <acc-name> --key key2

Microsoft.Storage/storageAccounts/write

Un principale con questo permesso sarà in grado di creare o aggiornare un account di archiviazione esistente aggiornando qualsiasi impostazione come regole di rete o politiche.

# e.g. set default action to allow so network restrictions are avoided
az storage account update --name <acc-name> --default-action Allow

# e.g. allow an IP address
az storage account update --name <acc-name> --add networkRuleSet.ipRules value=<ip-address>

Blobs Specific privesc

Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/write | Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/delete

Il primo permesso consente di modificare le politiche di immutabilità nei contenitori e il secondo di eliminarle.

az storage container immutability-policy delete \
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--resource-group <RESOURCE_GROUP>

az storage container immutability-policy update \
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--resource-group <RESOURCE_GROUP> \
--period <NEW_RETENTION_PERIOD_IN_DAYS>

File shares specific privesc

Microsoft.Storage/storageAccounts/fileServices/takeOwnership/action

Questo dovrebbe consentire a un utente che ha questo permesso di poter prendere possesso dei file all'interno del filesystem condiviso.

Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action

Questo dovrebbe consentire a un utente che ha questo permesso di poter modificare i permessi dei file all'interno del filesystem condiviso.

Microsoft.Storage/storageAccounts/fileServices/fileshares/files/actassuperuser/action

Questo dovrebbe consentire a un utente che ha questo permesso di poter eseguire azioni all'interno di un filesystem come superutente.

Other interesting looking permissions (TODO)

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action: Cambia la proprietà del blob

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action: Modifica i permessi del blob

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action: Restituisce il risultato del comando blob

• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action

References

• https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/storage#microsoftstorage