GCP - Generic Permissions Privesc

Autorisations Génériques Intéressantes

*.setIamPolicy

Si vous possédez un utilisateur ayant l'autorisation setIamPolicy sur une ressource, vous pouvez escalader les privilèges sur cette ressource car vous pourrez modifier la politique IAM de cette ressource et vous donner plus de privilèges dessus. Cette autorisation peut également permettre de passer à d'autres principaux si la ressource permet d'exécuter du code et que iam.ServiceAccounts.actAs n'est pas nécessaire.

• cloudfunctions.functions.setIamPolicy

• Modifier la politique d'une Cloud Function pour vous permettre de l'appeler.

Il existe des dizaines de types de ressources avec ce type d'autorisation, vous pouvez les trouver tous sur https://cloud.google.com/iam/docs/permissions-reference en recherchant setIamPolicy.

*.create, *.update

Ces autorisations peuvent être très utiles pour essayer d'escalader les privilèges sur les ressources en créant une nouvelle ou en mettant à jour une existante. Ces types d'autorisations sont particulièrement utiles si vous avez également l'autorisation iam.serviceAccounts.actAs sur un compte de service et que la ressource sur laquelle vous avez .create/.update peut attacher un compte de service.

*ServiceAccount*

Cette autorisation vous permettra généralement d'accéder ou de modifier un compte de service dans une ressource (par exemple : compute.instances.setServiceAccount). Cela pourrait conduire à un vecteur d'escalade de privilèges, mais cela dépendra de chaque cas.