Техники: T1548 , T1548.001 , T1548.002 , T1548.003 , T1548.004 , T1548.005 , T1548.006
Злоумышленники могут злоупотреблять конфигурацией разрешений, позволяющей им получать временный повышенный доступ к облачным ресурсам. Многие облачные среды позволяют администраторам предоставлять учетным записям пользователей или служб разрешение запрашивать временный доступ к ролям, выдавать себя за другие учетные записи, передавать роли ресурсам и службам или иным образом получать кратковременный доступ к набору привилегий, который может отличаться от их собственных.
Доступ "точно в срок" - это механизм предоставления дополнительных ролей облачным учетным записям на гранулированной временной основе. Это позволяет учетным записям работать только с теми разрешениями, которые им необходимы на ежедневной основе, и запрашивать дополнительные разрешения по мере необходимости.Иногда запросы на доступ "точно в срок" настраиваются таким образом, чтобы требовать ручного утверждения, в то время как в других случаях желаемые разрешения предоставляются автоматически.(Цитата: Azure Just in Time Access 2023)
Имперсонация учетной записи позволяет учетным записям пользователей или служб временно действовать с разрешениями другой учетной записи. Например, в GCP пользователи с ролью `iam.serviceAccountTokenCreator` могут создавать временные маркеры доступа или подписывать произвольные полезные нагрузки с правами учетной записи службы, а учетные записи службы с правом делегирования в масштабах домена могут выдавать себя за учетные записи Google Workspace.(Цитата: Google Cloud Service Account Authentication Roles)(Цитата: Hunters Domain Wide Delegation Google Workspace 2023)(Цитата: Google Cloud Just in Time Access 2023)(Цитата: Palo Alto Unit 42 Google Workspace Domain Wide Delegation 2023) В Exchange Online роль `ApplicationImpersonation` позволяет учетной записи службы использовать разрешения, связанные с указанными учетными записями пользователей.(Цитата: Microsoft Impersonation and EWS in Exchange)
Многие облачные среды также включают механизмы передачи ролей пользователям ресурсов, которые позволяют им выполнять задачи и аутентифицироваться в других службах. Хотя пользователь, создающий ресурс, не принимает напрямую роль, которую он ему передает, он все равно может воспользоваться преимуществами доступа роли - например, настроить ресурс на выполнение определенных действий с предоставленными ему правами.В AWS пользователи с разрешением `PassRole` могут разрешить создаваемому ими сервису взять на себя определенную роль, а в GCP пользователи с ролью `iam.serviceAccountUser` могут прикрепить учетную запись сервиса к ресурсу.(Цитата: AWS PassRole)(Цитата: Google Cloud Service Account Authentication Roles)
Хотя для использования любой из этих функций пользователям требуется назначение определенной роли, администраторы облака могут неверно настроить разрешения.Это может привести к эскалации, которая позволит Злоумышленникам получить доступ к ресурсам, выходящим за рамки первоначально запланированного.(Цитата: Rhino Google Cloud Privilege Escalation)(Цитата: Rhino Security Labs AWS Privilege Escalation)
**Примечание:** Эта техника отличается от Additional Cloud Roles, которая предполагает назначение постоянных ролей для учетных записей, а не злоупотребление существующими структурами разрешений для получения временного повышенного доступа к ресурсам. Однако Злоумышленники, скомпрометировавшие достаточно привилегированную учетную запись, могут предоставить другой контролируемой ими учетной записи Additional Cloud Roles, что позволит им также злоупотреблять этими возможностями.Это также может обеспечить большую скрытность, чем при прямом использовании высокопривилегированной учетной записи, особенно если в журналах не уточняется, когда происходит выдача себя за другую роль.(Цит. по: CrowdStrike StellarParticle January 2022)
https://attack.mitre.org/techniques/T1548/005
Визуализация смежных техник для T1548.005
| № | Техника |
|---|
