Friendoffriends
Een van de redenen waarom sommige organisaties de voorkeur geven aan hybride cloudservices zoals Microsoft Azure Stack, is de mogelijkheid om gevoelige gegevens veilig op locatie te bewaren..
Maar Check Point Research-analisten hebben enige tijd geleden twee kritieke beveiligingsproblemen in het lokale platform blootgelegd, en ze hebben nu een rapport uitgebracht waarin wordt beschreven hoe ze het deden.
Voor sommige serviceaanvragen was geen validatie in Azure Stack vereist
De onderzoekers waren in staat om aan te tonen hoe een kwaadwillende actor een schijnbaar kleine vergissing in softwareontwerp kon misbruiken om ernstige problemen te veroorzaken.
Ze waren verrast om te ontdekken dat voor sommige verzoeken in Azure geen authenticatie nodig was. Die kwetsbaarheid maakte het voor hen mogelijk om toegang te krijgen tot specifieke interne Azure Stack-resources.
In ons geval, omdat DataService geen authenticatie vereiste, stelde dit ons uiteindelijk in staat om schermafbeeldingen en informatie over tenants en infrastructuurmachines te krijgen.
Het tweede beveiligingsprobleem dat ze hebben vastgesteld, is server-side request forgery (SSRF). Door deze fout konden ze profiteren van het gebrek aan validatie van aanvragen in Azure door een speciaal vervaardigde aanvraag te implementeren via de gebruikersportal van het platform.
Hoe ze het voor elkaar kregen
De analisten begonnen met het opzetten van Azure Stack op hun eigen computer om zo een private cloud te creëren. Vervolgens identificeerden ze "DataService" als een van de services op het platform waarvoor geen validatie nodig was.
Bij verdere verkenning van API's ontdekten ze dat ze veel informatie konden verkrijgen over Azure Stack-machines, zoals apparaat-ID en systeemspecificaties.
Uiteindelijk konden de onderzoekers bepaalde functies aanroepen en screenshots maken op specifieke machines. Door een SSRF-inbreuk uit te voeren, slaagden ze erin om toegang te krijgen tot "DataService" en een screenshot-verzoek af te leveren zonder enige belemmering aan de serverzijde.
Azure Stack-klanten hoeven zich geen zorgen meer te maken over de spoofing-dreiging, omdat Microsoft er een beveiligingsupdate voor heeft geleverd. Toch kan men niet anders dan zich afvragen of de openbare Azure-cloud ooit hetzelfde probleem heeft gehad, aangezien deze vergelijkbare functies deelt met het lokale alternatief.
Check Point Research kon de openbare cloudinfrastructuur van Microsoft niet aan een vergelijkbare test onderwerpen vanwege de complicaties.
Azure heeft echter een lange weg afgelegd. Op basis van de financiële prestaties voor het tweede kwartaal is het product van vitaal belang voor de algehele omzetgroei van Microsoft.
Hopelijk valideert de openbare cloud-oplossing alle serviceverzoeken om het risico op SSRF-inbraak te minimaliseren.
- microsoft
- Microsoft Azure
