Friendoffriends
Jednym z powodów, dla których niektóre organizacje preferują usługi w chmurze hybrydowej, takie jak Microsoft Azure Stack, jest opcja bezpiecznego przechowywania poufnych danych lokalnie.
Jednak analitycy z firmy Check Point Research ujawnili kiedyś dwie krytyczne luki w zabezpieczeniach platformy lokalnej, a teraz opublikowali raport szczegółowo opisujący, jak to zrobili..
Niektóre żądania usług nie wymagały weryfikacji w stosie Azure
Naukowcom udało się zademonstrować, w jaki sposób złośliwy aktor może wykorzystać pozornie drobne niedopatrzenie w projektowaniu oprogramowania, aby spowodować poważne problemy.
Byli zaskoczeni, gdy odkryli, że niektóre żądania na platformie Azure nie wymagają uwierzytelniania. Ta luka umożliwiła im dostęp do określonych zasobów wewnętrznych Azure Stack.
W naszym przypadku, ponieważ DataService nie wymagał uwierzytelniania, ostatecznie pozwoliło nam to uzyskać zrzuty ekranu i informacje o najemcach i maszynach infrastruktury.
Drugim zidentyfikowanym problemem dotyczącym bezpieczeństwa jest fałszowanie żądań po stronie serwera (SSRF). Ta luka umożliwiła im wykorzystanie braku weryfikacji żądań na platformie Azure poprzez wdrożenie specjalnie spreparowanego żądania za pośrednictwem portalu użytkowników platformy.
Jak im się to udało
Analitycy rozpoczęli od skonfigurowania Azure Stack na własnym komputerze w celu utworzenia chmury prywatnej. Następnie zidentyfikowali „DataService” jako jedną z usług na platformie, która nie wymaga weryfikacji.
Po dalszej eksploracji interfejsów API odkryli, że mogą uzyskać wiele informacji na temat maszyn Azure Stack, takich jak identyfikator urządzenia i specyfikacje systemu.
Ostatecznie naukowcy mogliby wywołać określone funkcje i zrobić zrzuty ekranu na określonych maszynach. Wykonując naruszenie SSRF, udało im się uzyskać dostęp do „usługi danych” i dostarczyć żądanie zrzutu ekranu bez żadnych przeszkód po stronie serwera.
Klienci usługi Azure Stack nie muszą już martwić się zagrożeniem związanym z fałszowaniem, ponieważ firma Microsoft udostępniła dla niego aktualizację zabezpieczeń. Mimo to nie można przestać się zastanawiać, czy chmura publiczna Azure miała kiedykolwiek ten sam problem, biorąc pod uwagę, że ma podobne funkcje, co alternatywa lokalna.
Firma Check Point Research nie mogła poddać infrastruktury chmury publicznej firmy Microsoft podobnemu testowi ze względu na związane z tym komplikacje.
Niemniej jednak Azure przeszedł długą drogę. Opierając się na wynikach finansowych za drugi kwartał, produkt ma kluczowe znaczenie dla ogólnego wzrostu przychodów firmy Microsoft.
Miejmy nadzieję, że rozwiązanie chmury publicznej zweryfikuje wszystkie żądania usług, aby zminimalizować ryzyko włamania SSRF.
- microsoft
- Microsoft Azure
