Generische Interessante Berechtigungen

*.setIamPolicy

Wenn Sie einen Benutzer besitzen, der die Berechtigung setIamPolicy in einem Ressource hat, können Sie Berechtigungen in dieser Ressource eskalieren, da Sie die IAM-Richtlinie dieser Ressource ändern und sich dadurch mehr Rechte verschaffen können. Diese Berechtigung kann es auch ermöglichen, zu anderen Prinzipalen zu eskalieren, wenn die Ressource das Ausführen von Code erlaubt und iam.ServiceAccounts.actAs nicht erforderlich ist.

• cloudfunctions.functions.setIamPolicy

• Ändern Sie die Richtlinie einer Cloud-Funktion, um sich selbst das Aufrufen zu ermöglichen.

Es gibt dutzende von Ressourcentypen mit dieser Art von Berechtigung, Sie können sie alle unter https://cloud.google.com/iam/docs/permissions-reference finden, indem Sie nach setIamPolicy suchen.

*.create, *.update

Diese Berechtigungen können sehr nützlich sein, um Berechtigungen in Ressourcen zu eskalieren, indem Sie eine neue erstellen oder eine vorhandene aktualisieren. Diese Arten von Berechtigungen sind besonders nützlich, wenn Sie auch die Berechtigung iam.serviceAccounts.actAs über ein Servicekonto haben und die Ressource, über die Sie .create/.update haben, ein Servicekonto anhängen kann.

*ServiceAccount*

Diese Berechtigung wird Ihnen in der Regel ermöglichen, auf ein Servicekonto in einer Ressource zuzugreifen oder es zu ändern (z. B.: compute.instances.setServiceAccount). Dies könnte zu einem Privilege Escalation-Vektor führen, aber es hängt von jedem Fall ab.