En af grundene til, at nogle organisationer foretrækker hybrid cloud-tjenester som Microsoft Azure Stack, er muligheden for at holde følsomme data lokalt og sikkert.
Men Check Point Research-analytikere udsatte to kritiske sikkerhedssårbarheder i den on-prem platform for et stykke tid tilbage, og de har nu frigivet en rapport, der beskriver, hvordan de gjorde det.
Nogle serviceanmodninger krævede ingen validering i Azure Stack
Forskerne var i stand til at demonstrere, hvordan en ondsindet skuespiller kunne udnytte et tilsyneladende mindre tilsyn med softwaredesign for at skabe alvorlige problemer.
De var overraskede over at opdage, at nogle anmodninger i Azure ikke krævede godkendelse. Denne sårbarhed gjorde det muligt for dem at få adgang til specifikke interne Azure Stack-ressourcer.
I vores tilfælde, fordi DataService ikke krævede godkendelse, tillod dette os til sidst at få skærmbilleder og information om lejere og infrastrukturmaskiner.
Det andet sikkerhedsproblem, de identificerede, er forfalskning på serversiden (SSRF). Denne fejl gjorde det muligt for dem at drage fordel af manglen på anmodningsvalidering i Azure ved at implementere en specielt udformet anmodning via platformens brugerportal.
Hvordan de trak det af
Analytikerne startede med at oprette Azure Stack på deres egen computer for at oprette en privat sky. De identificerede derefter “DataService” som en af de tjenester på platformen, der ikke krævede nogen validering.
Efter yderligere udforskning af API'er opdagede de, at de kunne få meget information om Azure Stack-maskiner, såsom enheds-id og systemspecifikationer.
I sidste ende kunne forskerne påberåbe sig visse funktioner og tage skærmbilleder på bestemte maskiner. Ved at udføre en SSRF-overtrædelse lykkedes det at få adgang til "DataService" og levere en screenshotanmodning uden nogen hindring på serversiden.
Azure Stack-kunder behøver ikke længere bekymre sig om spoofing-truslen, fordi Microsoft leverede en sikkerhedsopdatering til den. Man kan stadig ikke undgå at undre sig over, om den offentlige Azure-sky nogensinde har haft det samme problem, i betragtning af at den deler lignende funktioner med det lokale alternativ.
Check Point Research kunne ikke udsætte Microsofts offentlige skyinfrastruktur for en lignende test på grund af de involverede komplikationer.
Azure er alligevel kommet langt. Baseret på dets økonomiske resultater i andet kvartal er produktet afgørende for Microsofts samlede omsætningsvækst.
Forhåbentlig validerer den offentlige cloud-løsning alle serviceanmodninger for at minimere risikoen for SSRF-indtrængen.
- Microsoft
- Microsoft Azure