Microsoft Azure’da ortaya çıkarılan bir “tasarım gereği kusur”, saldırganlar tarafından depolama hesaplarına erişim elde etmek, ortamda yanal hareket etmek ve hatta uzaktan kod yürütmek için kullanılabilir.
Orca, “Daha yüksek ayrıcalıklı kimliklerin erişim belirteçlerini çalmak, yanal olarak hareket etmek, potansiyel olarak kritik iş varlıklarına erişmek ve uzaktan kod (RCE) yürütmek için Azure İşlevlerini manipüle ederek Microsoft Depolama Hesaplarını kötüye kullanmak ve bunlardan yararlanmak mümkündür” dedi. rapor The Hacker News ile paylaştı.
Bu saldırının temelini oluşturan istismar yolu, adı verilen bir mekanizmadır. Paylaşılan Anahtar yetkilendirmesidepolama hesaplarında varsayılan olarak etkindir.
Microsoft’a göre Azure, bir depolama hesabı oluştururken iki adet 512 bit depolama hesabı erişim anahtarı oluşturur. Bu anahtarlar, Paylaşılan Anahtar yetkilendirmesi yoluyla veya paylaşılan anahtarla imzalanan SAS belirteçleri aracılığıyla verilere erişim yetkisi vermek için kullanılabilir.
“Depolama hesabı erişim anahtarları, bir depolama hesabının yapılandırmasına ve verilere tam erişim sağlar”, Microsoft notlar belgelerinde. “Paylaşılan anahtara erişim, kullanıcıya bir depolama hesabının yapılandırmasına ve verilerine tam erişim sağlar.”
Bulut güvenlik firması, bu erişim belirteçlerinin Azure İşlevlerini manipüle ederek çalınabileceğini ve potansiyel olarak bir hesaba erişimi olan bir tehdit aktörünün etkinleştirilebileceğini söyledi. Depolama Hesabı Katkıda Bulunan rolü ayrıcalıkları yükseltmek ve sistemleri devralmak için.
Spesifik olarak, bir yönetilen kimlik İşlev uygulamasını çağırmak için kullanılabilir, herhangi bir komutu yürütmek için kötüye kullanılabilir. Bu da, bir Azure İşlevi uygulaması dağıtılırken özel bir depolama hesabının oluşturulması sayesinde mümkün olur.
Orca araştırmacısı Roi Nisimi, “Bir saldırgan, güçlü bir yönetilen kimlikle atanmış bir Function uygulamasının depolama hesabını bulduğunda, onun adına kod çalıştırabilir ve sonuç olarak bir abonelik ayrıcalık yükseltmesi (PE) elde edebilir” dedi.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Diğer bir deyişle, bir tehdit aktörü, Azure İşlevi uygulamasının atanmış yönetilen kimliğinin erişim belirtecini uzak bir sunucuya sızdırarak ayrıcalıkları yükseltebilir, yanal olarak hareket edebilir, yeni kaynaklara erişebilir ve sanal makinelerde ters kabuk çalıştırabilir.
Nisimi, “Bir saldırgan, depolama hesaplarındaki işlev dosyalarını geçersiz kılarak, daha yüksek ayrıcalıklı bir kimliği çalıp sızdırabilir ve bunu yanal olarak hareket etmek, kurbanların en değerli taç mücevherlerini kullanmak ve tehlikeye atmak için kullanabilir.”
Azaltıcı önlemler olarak, kuruluşların Azure Paylaşılan Anahtar yetkilendirmesini devre dışı bırakmayı ve bunun yerine Azure Active Directory kimlik doğrulamasını kullanmayı düşünmeleri önerilir. Koordineli bir açıklamada, Microsoft söz konusu “İşlevler istemci araçlarının depolama hesaplarıyla nasıl çalıştığını güncellemeyi planlıyor.”
“Bu, kimlik kullanan daha iyi destek senaryolarındaki değişiklikleri içerir. AzureWebJobsStorage için kimlik tabanlı bağlantılar genel kullanıma sunulduktan ve yeni deneyimler doğrulandıktan sonra, kimlik, paylaşılan anahtar yetkilendirmesinden uzaklaşmayı amaçlayan AzureWebJobsStorage için varsayılan mod haline gelecektir.” teknoloji devi daha eklendi.
Bulgular, Microsoft’un, Azure Active Directory’yi etkileyen ve Bing arama sonuçlarını kurcalamayı mümkün kılan bir yanlış yapılandırma sorununu ve Azure Service Fabric Explorer’da (SFX) kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek yansıyan bir XSS güvenlik açığını düzeltmesinden haftalar sonra geldi.
