nyheder

Azure Stack modtagelig igen for sikkerhedssårbarheder

Azure Stack modtagelig igen for sikkerhedssårbarheder

En af grundene til, at nogle organisationer foretrækker hybrid cloud-tjenester som Microsoft Azure Stack, er muligheden for at holde følsomme data lokalt og sikkert.

Men Check Point Research-analytikere udsatte to kritiske sikkerhedssårbarheder i den on-prem platform for et stykke tid tilbage, og de har nu frigivet en rapport, der beskriver, hvordan de gjorde det.

Nogle serviceanmodninger krævede ingen validering i Azure Stack

Forskerne var i stand til at demonstrere, hvordan en ondsindet skuespiller kunne udnytte et tilsyneladende mindre tilsyn med softwaredesign for at skabe alvorlige problemer.

De var overraskede over at opdage, at nogle anmodninger i Azure ikke krævede godkendelse. Denne sårbarhed gjorde det muligt for dem at få adgang til specifikke interne Azure Stack-ressourcer.

I vores tilfælde, fordi DataService ikke krævede godkendelse, tillod dette os til sidst at få skærmbilleder og information om lejere og infrastrukturmaskiner.

Det andet sikkerhedsproblem, de identificerede, er forfalskning på serversiden (SSRF). Denne fejl gjorde det muligt for dem at drage fordel af manglen på anmodningsvalidering i Azure ved at implementere en specielt udformet anmodning via platformens brugerportal.

Hvordan de trak det af

Analytikerne startede med at oprette Azure Stack på deres egen computer for at oprette en privat sky. De identificerede derefter “DataService” som en af ​​de tjenester på platformen, der ikke krævede nogen validering.

Efter yderligere udforskning af API'er opdagede de, at de kunne få meget information om Azure Stack-maskiner, såsom enheds-id og systemspecifikationer.

I sidste ende kunne forskerne påberåbe sig visse funktioner og tage skærmbilleder på bestemte maskiner. Ved at udføre en SSRF-overtrædelse lykkedes det at få adgang til "DataService" og levere en screenshotanmodning uden nogen hindring på serversiden.

Azure Stack-kunder behøver ikke længere bekymre sig om spoofing-truslen, fordi Microsoft leverede en sikkerhedsopdatering til den. Man kan stadig ikke undgå at undre sig over, om den offentlige Azure-sky nogensinde har haft det samme problem, i betragtning af at den deler lignende funktioner med det lokale alternativ.

Check Point Research kunne ikke udsætte Microsofts offentlige skyinfrastruktur for en lignende test på grund af de involverede komplikationer.

Azure er alligevel kommet langt. Baseret på dets økonomiske resultater i andet kvartal er produktet afgørende for Microsofts samlede omsætningsvækst.

Forhåbentlig validerer den offentlige cloud-løsning alle serviceanmodninger for at minimere risikoen for SSRF-indtrængen.

vinduer Nokia 2520 vs iPad Air Video Advertising
Nokia 2520 vs iPad Air Video Advertising
Dette er ikke en kamp med specifikationer, men snarere Nokias optagelse af iPad Air med deres seneste reklame. Dette er den samme reklamefilosofi, som...
vinduer Windows 8.1-tablets med Intel Bay Trail 64-bit chips kommer i 1. kvartal 2014
Windows 8.1-tablets med Intel Bay Trail 64-bit chips kommer i 1. kvartal 2014
Intel forbereder sig på 2014 med Intel Bay Trail-chips, som virksomheden forventes at afsløre i første kvartal det næste år. Men hvad der er interessa...
vinduer Microsoft Store Digital Storage-tilbud til Cyber ​​Monday
Microsoft Store Digital Storage-tilbud til Cyber ​​Monday
Til denne Cyber ​​Monday har Microsoft forberedt en hel del tilbud i sin Microsoft Store. Her er de tilbud, som du kan drage fordel af på digital lagr...