Stor sÄrbarhet i Microsoft Azure över flera hyresgÀster som fÄngats av Orca Security

Stor sÄrbarhet i Microsoft Azure över flera hyresgÀster som fÄngats av Orca Security


Microsoft rapporterar att en sÄrbarhet i dess Azure Automation-tjÀnst mildrades i december, efter upptÀckten av en forskare vid Orca Security, och att det inte finns nÄgra bevis för att sÄrbarheten utnyttjades av illvilliga aktörer.

Om det inte hade fĂ„ngats upp och Ă„tgĂ€rdats, kunde den kritiska sĂ„rbarheten ha tillĂ„tit nĂ„gon att gĂ„ frĂ„n en hyresgĂ€st inom Azure till en annan hyresgĂ€st – vilket potentiellt skulle tillĂ„ta dem att komma Ă„t data och resurser frĂ„n mĂ„nga andra kunder, enligt Orca Security.

“Du hade mycket lĂ€tt kunnat fĂ„ mycket tillgĂ„ng till mĂ„nga kunder”, sĂ€ger Yoav Alon, CTO pĂ„ molnsĂ€kerhetsföretaget Orca Security.

SĂ„rbarheten över hyresgĂ€ster, kallad “AutoWarp” av Orca, upptĂ€cktes av Orca-forskaren Yanir Tsarimi och rapporterades till Microsoft den 6 december 2021. Microsoft sĂ€ger att de Ă„tgĂ€rdade problemet den 10 december 2021, genom att blockera all Ă„tkomst som inte var legitim.

Som ett resultat av AutoWarp-sĂ„rbarheten kunde Managed Identities-tokens – i huvudsak nycklar som ger dig tillgĂ„ng till olika resurser – ha utnyttjats för att komma Ă„t andra hyresgĂ€ster. I ett blogginlĂ€gg sa Microsoft att de “inte har upptĂ€ckt bevis för missbruk av tokens.”

Microsoft sa att de har meddelat alla kunder med konton som potentiellt pÄverkats av sÄrbarheten. Företaget sa att det inte hade fler kommentarer utöver sitt blogginlÀgg.

Azure Automation, som möjliggör exekveringsautomatisering av kod, Ă€r en populĂ€r tjĂ€nst eftersom den Ă€r “mycket grundlĂ€ggande och vĂ€ldigt lĂ€tt att anvĂ€nda”, sa Tsarimi.

“Du kan komma in i det pĂ„ nĂ„gra minuter och bara ladda upp din kod och anvĂ€nda den direkt,” sa han. “SĂ„ jag tror att om nĂ„gon ville automatisera nĂ„got i molnet, skulle de anvĂ€nda Azure Automation-tjĂ€nsten.”

Katastrof avvÀrjt

AutoWarp skulle potentiellt ha tillĂ„tit obehöriga anvĂ€ndare att komma Ă„t andra Azure-kundkonton med hjĂ€lp av Azure Automation-tjĂ€nsten – potentiellt möjliggöra full kontroll över data och resurser i riktade konton, baserat pĂ„ hur behörigheter konfigurerades, enligt Orca.

Företaget sa i en blogg att dess forskning visade att “flera stora företag anvĂ€nde tjĂ€nsten och kunde ha nĂ„tts, vilket satte miljarder dollar i fara.” Detta inkluderade tvĂ„ biltillverkare, ett stort telekommunikationsföretag, ett bankkonglomerat och en av de “fyra stora” revisionsbyrĂ„erna, sa Orca.

Vad sĂ„rbarheten tillĂ€t var “att faktiskt ta de behörigheter som anvĂ€ndarna gav till denna automatisering och kunna anvĂ€nda dessa behörigheter sjĂ€lva,” sa Alon. “Vi gjorde inte det – vi verifierade bara att vi kunde göra det.”

SĂ„ till exempel, “vi kunde ha gjort vad som helst som anvĂ€ndaren har gett denna automatiseringstillstĂ„nd att kunna göra,” sa han. “Vi kunde ha tagit över deras fullstĂ€ndiga konto om behörigheterna inte var korrekt konfigurerade – vilket mĂ„nga mĂ€nniskor inte gör.”

Microsoft Azure, precis som alla andra molnleverantörer, tillhandahÄller multitenancy, vilket innebÀr att varje konto Àr tÀnkt att vara isolerat frÄn de andra kontona.

“SĂ„ att faktiskt kunna ta över eller komma Ă„t nĂ„gon annans konto Ă€r ett mycket stort brott,” sa Alon. “Det anses vara ett av de största sĂ€kerhetsintrĂ„ng som du kan ha i molnet. Det Ă€r ett av molnleverantörernas kĂ€rnlöften – de lovar dig att inga andra hyresgĂ€ster kommer att kunna komma Ă„t din data eller dina resurser.”

Vad Orca fann Àr att i det hÀr fallet pÄverkade det inte bara Azure Automation-kontot, noterade han.

“Vi kunde inte bara komma Ă„t saker som Ă€r relaterade till den hĂ€r specifika tjĂ€nsten – vi skulle tekniskt kunna fĂ„ tillgĂ„ng till allt som den hĂ€r tjĂ€nsten kunde ha tillgĂ„ng till, vilket Ă€r mycket allvarligare,” sa Alon.

“Fast för alla”

Orca sa att kunder kunde ha varit sÄrbara för AutoWarp innan det ÄtgÀrdades om de har anvÀnt Azure Automation-tjÀnsten och funktionen Managed Identity i deras automationskonto var aktiverad. Den hÀr funktionen Àr aktiverad som standard, noterade Orca.

“Om du ville göra granskningen sjĂ€lv, skulle du titta pĂ„ loggarna och se vad din hanterade identitet fick Ă„tkomst till före det datumet, och om du ser nĂ„got misstĂ€nkt kan du titta pĂ„ det,” sa Alon. “Men det Ă€r viktigt att nĂ€mna att alla tokens som kunde ha erhĂ„llits av denna sĂ„rbarhet Ă€r förfallna. Du kan inte fortsĂ€tta anvĂ€nda polletterna … jag tror att de flesta kunder kan … sova gott om nĂ€tterna med vetskapen om att utredningen var gjord [with] Microsoft.”

Även om det hĂ€r problemet potentiellt kunde ha pĂ„verkat mĂ„nga anvĂ€ndare, eftersom det Ă€r i molnet, “nĂ€r problemet Ă€r Ă„tgĂ€rdat Ă€r det Ă„tgĂ€rdat omedelbart för alla”, sa han.

Tsarimi upptÀckte tidigare en annan sÄrbarhet mellan hyresgÀster i januari, som pÄverkade Amazon Web Services (AWS). SÄrbarheten kallades Superglue eftersom den pÄverkade AWS Glue-dataintegrationstjÀnsten.

“Vi nĂ€rmar oss molnsĂ€kerhet genom att utmana de största molnleverantörerna”, sa han. “Och den hĂ€r forskningen Ă€r bara ett resultat av att vi gĂ„r igenom nĂ„got nytt och stĂ€ller de frĂ„gor som folk inte stĂ€llde tidigare.”

I slutĂ€ndan, “vi gillar bara att utmana grĂ€nserna för molnsĂ€kerhet och vi tror att det Ă€r en lĂ„ngsiktig anstrĂ€ngning som mĂ„ste diskuteras mer,” sa Tsarimi. “För som du kan se, med denna sĂ„rbarhet, finns det en vĂ€ldigt, vĂ€ldigt stor pĂ„verkan med bara ett enkelt fel.”

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.