Escalade de privileges IAM
Qu'est-ce que Escalade de privileges IAM ?
Escalade de privileges IAMDetournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin.
L'escalade de privileges IAM survient lorsqu'un principal aux permissions limitees utilise des appels API legitimes pour s'elever vers des privileges plus larges ou admin. Sur AWS, les chemins frequents incluent iam:CreateAccessKey sur un autre utilisateur, iam:PutUserPolicy, sts:AssumeRole vers un role privilegie, lambda:UpdateFunctionCode sur une fonction puissante, ou abus de passrole via ec2:RunInstances. Des chemins equivalents existent sur Azure (ecritures de role assignment) et GCP (setIamPolicy). Des outils comme Pacu et PMapper enumeren ces chaines automatiquement. La defense restreint iam:Pass, iam:Put et *:Update, impose des permission boundaries et SCPs, journalise tout dans CloudTrail et alerte sur les combinaisons dangereuses.
● Exemples
- 01
Un utilisateur en lecture seule avec iam:CreateAccessKey sur un admin cree de nouvelles cles et obtient un acces complet.
- 02
Mettre a jour le code d'une fonction Lambda qui s'execute avec AdministratorAccess.
● Questions fréquentes
Qu'est-ce que Escalade de privileges IAM ?
Detournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Escalade de privileges IAM ?
Detournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin.
Comment fonctionne Escalade de privileges IAM ?
L'escalade de privileges IAM survient lorsqu'un principal aux permissions limitees utilise des appels API legitimes pour s'elever vers des privileges plus larges ou admin. Sur AWS, les chemins frequents incluent iam:CreateAccessKey sur un autre utilisateur, iam:PutUserPolicy, sts:AssumeRole vers un role privilegie, lambda:UpdateFunctionCode sur une fonction puissante, ou abus de passrole via ec2:RunInstances. Des chemins equivalents existent sur Azure (ecritures de role assignment) et GCP (setIamPolicy). Des outils comme Pacu et PMapper enumeren ces chaines automatiquement. La defense restreint iam:Pass, iam:Put et *:Update, impose des permission boundaries et SCPs, journalise tout dans CloudTrail et alerte sur les combinaisons dangereuses.
Comment se défendre contre Escalade de privileges IAM ?
Les défenses contre Escalade de privileges IAM combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Escalade de privileges IAM ?
Noms alternatifs courants : Privesc cloud, Escalade IAM.
● Termes liés
- cloud-security№ 186
Fuite de cles cloud
Exposition accidentelle de cles cloud de longue duree dans des depots publics, images de conteneur, logs ou code client, souvent exploitee en quelques minutes.
- cloud-security№ 190
Vol de tokens cloud
Vol de tokens OAuth, SAML ou de signature aupres d'un service d'identite cloud et rejeu pour usurper utilisateurs ou services sans avoir besoin de mots de passe.
- cloud-security№ 255
Finding CSPM
Alerte produite par un outil de Cloud Security Posture Management lorsqu'une ressource cloud viole un benchmark, une politique ou une regle de conformite.
- cloud-security№ 598
Attaque de cluster Kubernetes
Intrusion sur un cluster Kubernetes (K8s) exploitant des APIs exposees, un RBAC faible ou des charges vulnerables pour prendre le controle du plan de controle ou des noeuds.
- vulnerabilities№ 860
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.