Escalonamento de privilegios IAM
O que é Escalonamento de privilegios IAM?
Escalonamento de privilegios IAMAbuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos.
O escalonamento de privilegios IAM em ambientes cloud ocorre quando um principal com permissoes limitadas utiliza chamadas legitimas de API para se elevar a privilegios mais amplos ou administrativos. Caminhos comuns na AWS incluem iam:CreateAccessKey sobre outro utilizador, iam:PutUserPolicy, sts:AssumeRole para um papel privilegiado, lambda:UpdateFunctionCode numa funcao com papel forte, ou abuso de passrole via ec2:RunInstances. Existem caminhos equivalentes em Azure (escritas de role assignment) e GCP (setIamPolicy). Ferramentas como Pacu e PMapper enumeram estas cadeias automaticamente. A defesa restringe iam:Pass, iam:Put e *:Update, impoe permission boundaries e SCPs, regista tudo no CloudTrail e alerta para combinacoes perigosas.
● Exemplos
- 01
Um utilizador somente leitura com iam:CreateAccessKey sobre um admin cria novas chaves e obtem acesso total.
- 02
Atualizar o codigo de uma funcao Lambda enquanto ela corre com AdministratorAccess.
● Perguntas frequentes
O que é Escalonamento de privilegios IAM?
Abuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Escalonamento de privilegios IAM?
Abuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos.
Como funciona Escalonamento de privilegios IAM?
O escalonamento de privilegios IAM em ambientes cloud ocorre quando um principal com permissoes limitadas utiliza chamadas legitimas de API para se elevar a privilegios mais amplos ou administrativos. Caminhos comuns na AWS incluem iam:CreateAccessKey sobre outro utilizador, iam:PutUserPolicy, sts:AssumeRole para um papel privilegiado, lambda:UpdateFunctionCode numa funcao com papel forte, ou abuso de passrole via ec2:RunInstances. Existem caminhos equivalentes em Azure (escritas de role assignment) e GCP (setIamPolicy). Ferramentas como Pacu e PMapper enumeram estas cadeias automaticamente. A defesa restringe iam:Pass, iam:Put e *:Update, impoe permission boundaries e SCPs, regista tudo no CloudTrail e alerta para combinacoes perigosas.
Como se defender contra Escalonamento de privilegios IAM?
As defesas contra Escalonamento de privilegios IAM costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Escalonamento de privilegios IAM?
Nomes alternativos comuns: Privesc na nuvem, Escalonamento IAM.
● Termos relacionados
- cloud-security№ 186
Fuga de chaves cloud
Exposicao acidental de chaves de acesso cloud de longa duracao em repositorios publicos, imagens de contentor, logs ou codigo cliente, normalmente abusada em minutos.
- cloud-security№ 190
Roubo de tokens na nuvem
Roubo de tokens OAuth, SAML ou de assinatura a um servico de identidade cloud e respetiva repeticao para se fazer passar por utilizadores ou servicos sem senhas.
- cloud-security№ 255
Finding CSPM
Alerta produzido por uma ferramenta de Cloud Security Posture Management quando um recurso na nuvem viola um benchmark, politica ou regra de conformidade.
- cloud-security№ 598
Ataque a cluster Kubernetes
Intrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho.
- vulnerabilities№ 860
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.