IAM-Privilege-Escalation
Was ist IAM-Privilege-Escalation?
IAM-Privilege-EscalationMissbrauch bestehender Cloud-IAM-Berechtigungen, um hoehere Rechte zu erlangen, oft durch Policy-Bearbeitung, Rollenuebernahme oder Selbsterteilung administrativer Rechte.
IAM-Privilege-Escalation in Cloud-Umgebungen tritt auf, wenn ein Principal mit begrenzten Rechten ueber legitime API-Aktionen zu umfassenderen oder administrativen Rechten aufsteigt. Typische AWS-Pfade sind iam:CreateAccessKey auf einen anderen Benutzer, iam:PutUserPolicy, sts:AssumeRole auf eine privilegierte Rolle, lambda:UpdateFunctionCode auf eine Funktion mit maechtiger Rolle oder Passrole-Missbrauch via ec2:RunInstances. Aequivalente Pfade existieren in Azure (Role-Assignment-Writes) und GCP (setIamPolicy). Tools wie Pacu und PMapper enumerieren diese Ketten automatisch. Verteidiger schraenken iam:Pass, iam:Put und *:Update ein, setzen Permission Boundaries und SCPs durch, loggen alles in CloudTrail und alarmieren bei gefaehrlichen Kombinationen.
● Beispiele
- 01
Ein Read-only-User mit iam:CreateAccessKey auf einen Admin erstellt neue Schluessel und erhaelt vollen Zugriff.
- 02
Aktualisieren des Lambda-Funktionscodes, waehrend die Funktion mit AdministratorAccess laeuft.
● Häufige Fragen
Was ist IAM-Privilege-Escalation?
Missbrauch bestehender Cloud-IAM-Berechtigungen, um hoehere Rechte zu erlangen, oft durch Policy-Bearbeitung, Rollenuebernahme oder Selbsterteilung administrativer Rechte. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet IAM-Privilege-Escalation?
Missbrauch bestehender Cloud-IAM-Berechtigungen, um hoehere Rechte zu erlangen, oft durch Policy-Bearbeitung, Rollenuebernahme oder Selbsterteilung administrativer Rechte.
Wie funktioniert IAM-Privilege-Escalation?
IAM-Privilege-Escalation in Cloud-Umgebungen tritt auf, wenn ein Principal mit begrenzten Rechten ueber legitime API-Aktionen zu umfassenderen oder administrativen Rechten aufsteigt. Typische AWS-Pfade sind iam:CreateAccessKey auf einen anderen Benutzer, iam:PutUserPolicy, sts:AssumeRole auf eine privilegierte Rolle, lambda:UpdateFunctionCode auf eine Funktion mit maechtiger Rolle oder Passrole-Missbrauch via ec2:RunInstances. Aequivalente Pfade existieren in Azure (Role-Assignment-Writes) und GCP (setIamPolicy). Tools wie Pacu und PMapper enumerieren diese Ketten automatisch. Verteidiger schraenken iam:Pass, iam:Put und *:Update ein, setzen Permission Boundaries und SCPs durch, loggen alles in CloudTrail und alarmieren bei gefaehrlichen Kombinationen.
Wie schützt man sich gegen IAM-Privilege-Escalation?
Schutzmaßnahmen gegen IAM-Privilege-Escalation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für IAM-Privilege-Escalation?
Übliche alternative Bezeichnungen: Cloud-Privesc, IAM-Privesc.
● Verwandte Begriffe
- cloud-security№ 186
Cloud-Key-Leak
Versehentliches Veroeffentlichen langlebiger Cloud-Zugangsschluessel in oeffentlichen Repositories, Container-Images, Logs oder Client-Code, oft binnen Minuten ausgenutzt.
- cloud-security№ 190
Cloud-Token-Diebstahl
Diebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
- cloud-security№ 255
CSPM-Finding
Alarm eines Cloud-Security-Posture-Management-Tools, wenn eine Cloud-Ressource gegen einen Security-Benchmark, eine Policy oder eine Compliance-Regel verstoesst.
- cloud-security№ 598
Kubernetes-Cluster-Angriff
Eingriff in einen Kubernetes (K8s)-Cluster, der freigelegte APIs, schwaches RBAC oder verwundbare Workloads ausnutzt, um Kontrolle ueber Control Plane oder Worker Nodes zu erlangen.
- vulnerabilities№ 860
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.
● Siehe auch
- № 211Container Escape
- № 187Cloud-Metadata-SSRF
- № 079AWS-IMDSv1-Angriff
- № 182Cloud-Cryptojacking
- № 183Cloud-Datenexfiltration