Az - Queue Storage Post Exploitation

Reading time: 5 minutes

Queue

Für weitere Informationen siehe:

Az - Queue Storage

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/read

Ein Angreifer mit dieser Berechtigung kann Nachrichten aus einer Azure Storage Queue einsehen. Dies ermöglicht es dem Angreifer, den Inhalt von Nachrichten zu sehen, ohne sie als verarbeitet zu kennzeichnen oder ihren Status zu ändern. Dies könnte zu unbefugtem Zugriff auf sensible Informationen führen, was Datenexfiltration oder das Sammeln von Informationen für weitere Angriffe ermöglicht.

az storage message peek --queue-name <queue_name> --account-name <storage_account>

Potenzielle Auswirkungen: Unbefugter Zugriff auf die Warteschlange, Nachrichtenexposition oder Warteschlangenmanipulation durch unbefugte Benutzer oder Dienste.

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action

Mit dieser Berechtigung kann ein Angreifer Nachrichten aus einer Azure Storage Queue abrufen und verarbeiten. Das bedeutet, dass sie den Nachrichteninhalt lesen und als verarbeitet markieren können, wodurch er effektiv vor legitimen Systemen verborgen wird. Dies könnte dazu führen, dass sensible Daten offengelegt werden, Störungen in der Nachrichtenverarbeitung auftreten oder sogar wichtige Arbeitsabläufe gestoppt werden, indem Nachrichten für die vorgesehenen Benutzer unzugänglich gemacht werden.

az storage message get --queue-name <queue_name> --account-name <storage_account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action

Mit dieser Berechtigung kann ein Angreifer neue Nachrichten zu einer Azure Storage Queue hinzufügen. Dies ermöglicht es ihnen, bösartige oder unautorisierte Daten in die Warteschlange einzufügen, was potenziell unbeabsichtigte Aktionen auslösen oder nachgelagerte Dienste stören kann, die die Nachrichten verarbeiten.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

Diese Berechtigung ermöglicht es einem Angreifer, neue Nachrichten hinzuzufügen oder vorhandene in einer Azure Storage Queue zu aktualisieren. Durch die Nutzung dieser Berechtigung könnten sie schädliche Inhalte einfügen oder bestehende Nachrichten ändern, was möglicherweise Anwendungen irreführen oder unerwünschte Verhaltensweisen in Systemen verursachen könnte, die auf die Queue angewiesen sind.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

#Update the message
az storage message update --queue-name <queue-name> \
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>

Aktionen: Microsoft.Storage/storageAccounts/queueServices/queues/delete

Diese Berechtigung ermöglicht es einem Angreifer, Warteschlangen innerhalb des Speicherkontos zu löschen. Durch die Nutzung dieser Fähigkeit kann ein Angreifer Warteschlangen und alle damit verbundenen Nachrichten dauerhaft entfernen, was zu erheblichen Störungen der Arbeitsabläufe führt und zu einem kritischen Datenverlust für Anwendungen, die auf die betroffenen Warteschlangen angewiesen sind. Diese Aktion kann auch verwendet werden, um Dienste zu sabotieren, indem wesentliche Komponenten des Systems entfernt werden.

az storage queue delete --name <queue-name> --account-name <storage-account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete

Mit dieser Berechtigung kann ein Angreifer alle Nachrichten aus einer Azure Storage Queue löschen. Diese Aktion entfernt alle Nachrichten, stört Arbeitsabläufe und verursacht Datenverlust für Systeme, die von der Queue abhängig sind.

az storage message clear --queue-name <queue-name> --account-name <storage-account>

Aktionen: Microsoft.Storage/storageAccounts/queueServices/queues/write

Diese Berechtigung ermöglicht es einem Angreifer, Warteschlangen und deren Eigenschaften innerhalb des Speicherkontos zu erstellen oder zu ändern. Sie kann verwendet werden, um unbefugte Warteschlangen zu erstellen, Metadaten zu ändern oder Zugriffssteuerlisten (ACLs) zu ändern, um den Zugriff zu gewähren oder einzuschränken. Diese Fähigkeit könnte Arbeitsabläufe stören, bösartige Daten injizieren, sensible Informationen exfiltrieren oder Warteschlangeneinstellungen manipulieren, um weitere Angriffe zu ermöglichen.

az storage queue create --name <new-queue-name> --account-name <storage-account>

az storage queue metadata update --name <queue-name> --metadata key1=value1 key2=value2 --account-name <storage-account>

az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>

Referenzen

• https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
• https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
• https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes