T1548.005: Временный привилегированный доступ к облачным ресурсам
Злоумышленники могут использовать настройки разрешений, которые позволяют им получить временный расширенный доступ к облачным ресурсам. Во многих облачных средах администраторы могут предоставлять пользователям или службам разрешение запрашивать JIT-доступ к ролям, имперсонировать другие службы или пользователей, передавать роли ресурсам и службам или иным образом получать краткосрочный доступ к набору привилегий, отличных от их собственных.
JIT-доступ — это механизм временного предоставления дополнительных ролей облачным учетным записям с высоким уровнем детализации. Он позволяет пользователям работать с минимально необходимыми разрешениями большую часть времени и запрашивать дополнительные разрешения по мере необходимости. В некоторых случаях такие запросы требуют ручного одобрения, в других — необходимые разрешения предоставляются автоматически.
Имперсонация учетной записи позволяет пользователям или службам временно работать с разрешениями, доступными другой учетной записи. Например, в GCP пользователи с ролью iam.serviceAccountTokenCreator
могут создавать временные токены доступа или подписывать произвольные полезные нагрузки, пользуясь разрешениями служебной учетной записи, а служебные учетные записи с разрешением на делегирование в масштабах домена могут имперсонировать учетные записи Google Workspace. В Exchange Online учетная запись службы с ролью ApplicationImpersonation
может пользоваться разрешениями заданных учетных записей пользователей.
Во многих облачных средах есть механизмы, позволяющие пользователям передавать роли ресурсам для выполнения определенных задач и аутентификации в других сервисах. Хотя пользователь, создающий ресурс, не присваивает роль, которую он передает, он все же может воспользоваться правами доступа, предоставленными этой роли, например изменив конфигурацию ресурса таким образом, чтобы он мог выполнять определенные действия, используя полученные разрешения. В AWS пользователи с разрешением PassRole
могут позволить созданной ими службе получить указанную роль, а в GCP пользователи с ролью iam.serviceAccountUser
могут закрепить учетную запись службы за определенным ресурсом.
Для использования этих функций пользователям должны быть назначены определенные роли, однако администраторы облачных сервисов могут допустить ошибки при настройке разрешений, что может открыть злоумышленникам возможность для повышения уровня привилегий и получения расширенного доступа к ресурсам.
Примечание. Эта техника отличается от техники Дополнительные облачные роли, которая предусматривает назначение постоянных ролей учетным записям, а не эксплуатацию существующей структуры разрешений для временного расширения прав доступа к ресурсам. Однако после компрометации учетной записи с достаточным уровнем привилегий злоумышленники могут назначить дополнительные облачные роли другой подконтрольной им учетной записи и далее использовать описанные выше функции. Этот метод является более скрытным, чем непосредственное использование учетной записи с высоким уровнем привилегий, особенно если момент имперсонации ролей не регистрируется в журналах.
Способы обнаружения
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Изменения в учетной записи | Описание | Log API calls to assume, create, or impersonate additional roles, policies, and permissions. Review uses of just-in-time access to ensure that any justifications provided are valid and only expected actions were taken. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Limit the privileges of cloud accounts to assume, create, or impersonate additional roles, policies, and permissions to only those required. Where just-in-time access is enabled, consider requiring manual approval for temporary elevation of privileges. |
---|