Friendoffriends
Einer der Gründe, warum einige Unternehmen Hybrid-Cloud-Dienste wie Microsoft Azure Stack bevorzugen, ist die Option, vertrauliche Daten sicher vor Ort zu speichern.
Die Analysten von Check Point Research haben jedoch vor einiger Zeit zwei kritische Sicherheitslücken in der On-Prem-Plattform aufgedeckt und nun einen Bericht veröffentlicht, in dem detailliert beschrieben wird, wie sie dies getan haben.
Einige Dienstanforderungen erforderten keine Überprüfung in Azure Stack
Die Forscher konnten zeigen, wie ein böswilliger Akteur ein scheinbar geringfügiges Versehen im Software-Design ausnutzen kann, um ernsthafte Probleme zu verursachen.
Sie waren überrascht festzustellen, dass für einige Anforderungen in Azure keine Authentifizierung erforderlich war. Diese Sicherheitsanfälligkeit ermöglichte ihnen den Zugriff auf bestimmte interne Azure Stack-Ressourcen.
In unserem Fall, da DataService keine Authentifizierung erforderte, konnten wir schließlich Screenshots und Informationen zu Mandanten und Infrastrukturmaschinen abrufen.
Das zweite von ihnen identifizierte Sicherheitsproblem ist die serverseitige Fälschung von Anforderungen (SSRF). Dieser Fehler ermöglichte es ihnen, die fehlende Anforderungsvalidierung in Azure auszunutzen, indem sie eine speziell gestaltete Anforderung über das Benutzerportal der Plattform bereitstellten.
Wie sie es geschafft haben
Die Analysten richteten zunächst Azure Stack auf ihrem eigenen Computer ein, um eine private Cloud zu erstellen. Anschließend identifizierten sie "DataService" als einen der Dienste auf der Plattform, für die keine Validierung erforderlich war.
Bei der weiteren Untersuchung von APIs stellten sie fest, dass sie viele Informationen zu Azure Stack-Computern erhalten konnten, z. B. Geräte-ID und Systemspezifikationen.
Letztendlich konnten die Forscher bestimmte Funktionen aufrufen und Screenshots auf bestimmten Maschinen machen. Durch die Ausführung eines SSRF-Verstoßes gelang es ihnen, auf „DataService“ zuzugreifen und eine Screenshot-Anfrage ohne serverseitige Behinderung zu senden.
Azure Stack-Kunden müssen sich keine Sorgen mehr über die Spoofing-Bedrohung machen, da Microsoft ein Sicherheitsupdate dafür bereitgestellt hat. Trotzdem kann man sich nur fragen, ob die öffentliche Azure-Cloud jemals das gleiche Problem hatte, wenn man bedenkt, dass sie ähnliche Funktionen wie die On-Prem-Alternative aufweist.
Check Point Research konnte die öffentliche Cloud-Infrastruktur von Microsoft aufgrund der damit verbundenen Komplikationen keinem ähnlichen Test unterziehen.
Trotzdem hat Azure einen langen Weg zurückgelegt. Basierend auf der finanziellen Leistung des zweiten Quartals ist das Produkt für das Umsatzwachstum von Microsoft von entscheidender Bedeutung.
Hoffentlich validiert die Public Cloud-Lösung alle Dienstanforderungen, um das Risiko eines Eindringens von SSRF zu minimieren.
- Microsoft
- Microsoft Azure
