T1548.005: Временный привилегированный доступ к облачным ресурсам

Злоумышленники могут использовать настройки разрешений, которые позволяют им получить временный расширенный доступ к облачным ресурсам. Во многих облачных средах администраторы могут предоставлять пользователям или службам разрешение запрашивать JIT-доступ к ролям, имперсонировать другие службы или пользователей, передавать роли ресурсам и службам или иным образом получать краткосрочный доступ к набору привилегий, отличных от их собственных.

JIT-доступ — это механизм временного предоставления дополнительных ролей облачным учетным записям с высоким уровнем детализации. Он позволяет пользователям работать с минимально необходимыми разрешениями большую часть времени и запрашивать дополнительные разрешения по мере необходимости. В некоторых случаях такие запросы требуют ручного одобрения, в других — необходимые разрешения предоставляются автоматически.

Имперсонация учетной записи позволяет пользователям или службам временно работать с разрешениями, доступными другой учетной записи. Например, в GCP пользователи с ролью iam.serviceAccountTokenCreator могут создавать временные токены доступа или подписывать произвольные полезные нагрузки, пользуясь разрешениями служебной учетной записи, а служебные учетные записи с разрешением на делегирование в масштабах домена могут имперсонировать учетные записи Google Workspace. В Exchange Online учетная запись службы с ролью ApplicationImpersonation может пользоваться разрешениями заданных учетных записей пользователей.

Во многих облачных средах есть механизмы, позволяющие пользователям передавать роли ресурсам для выполнения определенных задач и аутентификации в других сервисах. Хотя пользователь, создающий ресурс, не присваивает роль, которую он передает, он все же может воспользоваться правами доступа, предоставленными этой роли, например изменив конфигурацию ресурса таким образом, чтобы он мог выполнять определенные действия, используя полученные разрешения. В AWS пользователи с разрешением PassRole могут позволить созданной ими службе получить указанную роль, а в GCP пользователи с ролью iam.serviceAccountUser могут закрепить учетную запись службы за определенным ресурсом.

Для использования этих функций пользователям должны быть назначены определенные роли, однако администраторы облачных сервисов могут допустить ошибки при настройке разрешений, что может открыть злоумышленникам возможность для повышения уровня привилегий и получения расширенного доступа к ресурсам.

Примечание. Эта техника отличается от техники Дополнительные облачные роли, которая предусматривает назначение постоянных ролей учетным записям, а не эксплуатацию существующей структуры разрешений для временного расширения прав доступа к ресурсам. Однако после компрометации учетной записи с достаточным уровнем привилегий злоумышленники могут назначить дополнительные облачные роли другой подконтрольной им учетной записи и далее использовать описанные выше функции. Этот метод является более скрытным, чем непосредственное использование учетной записи с высоким уровнем привилегий, особенно если момент имперсонации ролей не регистрируется в журналах.

Способы обнаружения

IDDS0002Источник и компонент данныхУчетная запись пользователя: Изменения в учетной записиОписание

Фиксируйте в журнале вызовы API, выполняющие присваивание, создание или имперсонацию дополнительных ролей, политик и разрешений. Проверяйте использование JIT-доступа (на определенное время): обоснования для доступа должны быть правдоподобными, а действия — только ожидаемыми.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права облачных учетных записей на присваивание, создание или имперсонацию дополнительных ролей, политик и разрешений, оставив их только у тех пользователей, которым это необходимо. При использовании JIT-доступа установите требование одобрять временное повышение уровня привилегий вручную.