Az - Queue Storage Privesc

Queue

Aby uzyskać więcej informacji, sprawdź:

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/read

Atakujący z tym uprawnieniem może podglądać wiadomości z kolejki Azure Storage. Umożliwia to atakującemu przeglądanie treści wiadomości bez oznaczania ich jako przetworzonych lub zmieniania ich stanu. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych informacji, umożliwiając eksfiltrację danych lub zbieranie informacji wywiadowczych do dalszych ataków.

az storage message peek --queue-name <queue_name> --account-name <storage_account>

Potencjalny wpływ: Nieautoryzowany dostęp do kolejki, ujawnienie wiadomości lub manipulacja kolejką przez nieautoryzowanych użytkowników lub usługi.

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action

Dzięki temu uprawnieniu, atakujący może pobierać i przetwarzać wiadomości z Azure Storage Queue. Oznacza to, że mogą odczytać zawartość wiadomości i oznaczyć ją jako przetworzoną, skutecznie ukrywając ją przed legalnymi systemami. Może to prowadzić do ujawnienia wrażliwych danych, zakłóceń w sposobie obsługi wiadomości, a nawet zatrzymania ważnych procesów, czyniąc wiadomości niedostępnymi dla ich zamierzonych użytkowników.

az storage message get --queue-name <queue_name> --account-name <storage_account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action

Dzięki temu uprawnieniu, atakujący może dodać nowe wiadomości do kolejki Azure Storage. Umożliwia to wstrzykiwanie złośliwych lub nieautoryzowanych danych do kolejki, co może prowadzić do wywołania niezamierzonych działań lub zakłócenia działania usług przetwarzających wiadomości.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

To uprawnienie pozwala atakującemu na dodawanie nowych wiadomości lub aktualizowanie istniejących w Azure Storage Queue. Używając tego, mogą wprowadzać szkodliwe treści lub zmieniać istniejące wiadomości, co może wprowadzać w błąd aplikacje lub powodować niepożądane zachowania w systemach, które polegają na kolejce.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

#Update the message
az storage message update --queue-name <queue-name> \
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>

Akcja: Microsoft.Storage/storageAccounts/queueServices/queues/write

To uprawnienie pozwala atakującemu na tworzenie lub modyfikowanie kolejek i ich właściwości w ramach konta magazynu. Może być używane do tworzenia nieautoryzowanych kolejek, modyfikowania metadanych lub zmiany list kontroli dostępu (ACL), aby przyznać lub ograniczyć dostęp. Ta zdolność może zakłócać przepływy pracy, wstrzykiwać złośliwe dane, eksfiltrując wrażliwe informacje lub manipulować ustawieniami kolejek, aby umożliwić dalsze ataki.

az storage queue create --name <new-queue-name> --account-name <storage-account>

az storage queue metadata update --name <queue-name> --metadata key1=value1 key2=value2 --account-name <storage-account>

az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>

References

• https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues

• https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api

• https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes