Permissions Génériques Intéressantes

*.setIamPolicy

Si vous possédez un utilisateur qui a la permission setIamPolicy sur une ressource, vous pouvez escalader les privilèges sur cette ressource car vous pourrez modifier la politique IAM de cette ressource et vous octroyer plus de privilèges. Cette permission peut également permettre d'escalader vers d'autres principaux si la ressource permet d'exécuter du code et que iam.ServiceAccounts.actAs n'est pas nécessaire.

• cloudfunctions.functions.setIamPolicy

• Modifier la politique d'une Cloud Function pour vous permettre de l'invoquer.

Il existe des dizaines de types de ressources avec ce type de permission, vous pouvez les trouver toutes sur https://cloud.google.com/iam/docs/permissions-reference en recherchant setIamPolicy.

*.create, *.update

Ces permissions peuvent être très utiles pour tenter d'escalader les privilèges sur des ressources en créant une nouvelle ou en mettant à jour une existante. Ces types de permissions sont particulièrement utiles si vous avez également la permission iam.serviceAccounts.actAs sur un Service Account et que la ressource sur laquelle vous avez .create/.update peut attacher un Service Account.

*ServiceAccount*

Cette permission vous permettra généralement d'accéder ou de modifier un Service Account dans une ressource (par exemple : compute.instances.setServiceAccount). Cela pourrait conduire à un vecteur d'escalade de privilèges, mais cela dépendra de chaque cas.