临时提升的云访问

对手可能会滥用权限配置，使他们能够获得对云资源的临时提升访问权限。许多云环境允许管理员授予用户或服务帐户请求即时访问角色、模拟其他帐户、将角色传递给资源和服务或以其他方式获得与其自身不同的一组权限的短期访问权限。 即时访问是一种以细粒度、临时方式向云帐户授予额外角色的机制。这允许帐户仅以他们每天需要的权限进行操作，并在必要时请求额外权限。有时即时访问请求被配置为需要手动批准，而其他时候所需的权限会自动授予。(引用: Azure Just in Time Access 2023) 帐户模拟允许用户或服务帐户临时以另一个帐户的权限进行操作。例如，在 GCP 中，具有 iam.serviceAccountTokenCreator 角色的用户可以创建临时访问令牌或使用服务帐户的权限签署任意有效负载，而具有域范围委派权限的服务帐户被允许模拟 Google Workspace 帐户。(引用: Google Cloud Service Account Authentication Roles)(引用: Hunters Domain Wide Delegation Google Workspace 2023)(引用: Google Cloud Just in Time Access 2023)(引用: Palo Alto Unit 42 Google Workspace Domain Wide Delegation 2023) 在 Exchange Online 中，ApplicationImpersonation 角色允许服务帐户使用与指定用户帐户关联的权限。(引用: Microsoft Impersonation and EWS in Exchange) 许多云环境还包括用户将角色传递给资源的机制，允许他们执行任务并验证其他服务。虽然创建资源的用户不会直接承担他们传递给它的角色，但他们仍然可以利用角色的访问权限——例如，通过配置资源以其被授予的权限执行某些操作。在 AWS 中，具有 PassRole 权限的用户可以允许他们创建的服务承担给定角色，而在 GCP 中，具有 iam.serviceAccountUser 角色的用户可以将服务帐户附加到资源。(引用: AWS PassRole)(引用: Google Cloud Service Account Authentication Roles) 虽然用户需要特定角色分配才能使用这些功能，但云管理员可能会错误配置权限。这可能导致权限提升路径，使对手能够访问超出最初预期的资源。(引用: Rhino Google Cloud Privilege Escalation)(引用: Rhino Security Labs AWS Privilege Escalation) 注意： 这与额外的云角色不同，后者涉及为帐户分配永久角色，而不是滥用现有权限结构以获得对资源的临时提升访问权限。然而，妥协了具有足够权限的帐户的对手可能会授予他们控制的另一个帐户额外的云角色，这将允许他们也滥用这些功能。这可能比直接使用高度特权帐户更隐蔽，特别是当日志未明确说明何时进行角色模拟时。(引用: CrowdStrike StellarParticle January 2022)