GCP - Generische Berechtigungen Privesc

Reading time: 3 minutes

Generische interessante Berechtigungen

*.setIamPolicy

Wenn Sie einen Benutzer besitzen, der die setIamPolicy-Berechtigung in einer Ressource hat, können Sie die Berechtigungen in dieser Ressource eskalieren, da Sie die IAM-Richtlinie dieser Ressource ändern und sich selbst mehr Berechtigungen gewähren können.
Diese Berechtigung kann auch ermöglichen, zu anderen Prinzipalen zu eskalieren, wenn die Ressource das Ausführen von Code erlaubt und iam.ServiceAccounts.actAs nicht erforderlich ist.

• cloudfunctions.functions.setIamPolicy
• Ändern Sie die Richtlinie einer Cloud-Funktion, um sich selbst zu erlauben, sie aufzurufen.

Es gibt Dutzende von Ressourcentypen mit dieser Art von Berechtigung, Sie können alle von ihnen in https://cloud.google.com/iam/docs/permissions-reference finden, indem Sie nach setIamPolicy suchen.

*.create, *.update

Diese Berechtigungen können sehr nützlich sein, um zu versuchen, Berechtigungen in Ressourcen zu eskalieren, indem Sie eine neue erstellen oder eine neue aktualisieren. Diese Art von Berechtigungen ist besonders nützlich, wenn Sie auch die Berechtigung iam.serviceAccounts.actAs über ein Dienstkonto haben und die Ressource, über die Sie .create/.update verfügen, ein Dienstkonto anhängen kann.

*ServiceAccount*

Diese Berechtigung ermöglicht es Ihnen normalerweise, auf ein Dienstkonto in einer Ressource zuzugreifen oder es zu ändern (z.B.: compute.instances.setServiceAccount). Dies könnte zu einem Vektor für eine Berechtigungseskalation führen, hängt jedoch von jedem Einzelfall ab.