Se han revelado detalles sobre una vulnerabilidad crítica ahora abordada en Microsoft’s Automatización de Azure servicio que podría haber permitido el acceso no autorizado a otras cuentas de clientes de Azure y tomar el control.
«Este ataque podría significar el control total sobre los recursos y los datos pertenecientes a la cuenta objetivo, según los permisos asignados por el cliente», dijo el investigador de Orca Security, Yanir Tsarimi. dijo en un informe publicado el lunes.
La falla potencialmente puso en riesgo a varias entidades, incluida una compañía de telecomunicaciones no identificada, dos fabricantes de automóviles, un conglomerado bancario y cuatro grandes firmas de contabilidad, entre otras, agregó la compañía israelí de seguridad de infraestructura en la nube.
El servicio de automatización de Azure permite para la automatización de procesos, la administración de la configuración y el manejo de las actualizaciones del sistema operativo dentro de una ventana de mantenimiento definida en entornos Azure y no Azure.
Doblado «Deformación automática«, el problema afecta a todos los usuarios del servicio de Azure Automation que tienen la Identidad administrada función activada. Vale la pena señalar que esta función está habilitada de forma predeterminada. Luego de la divulgación responsable el 6 de diciembre de 2021, el problema se solucionó en un parche publicado el 10 de diciembre de 2021.
«Se expusieron las cuentas de Azure Automation que usaban tokens de identidades administradas para la autorización y Azure Sandbox para el tiempo de ejecución y la ejecución del trabajo», Microsoft Security Response Center (MSRC) dijo en una oracion. «Microsoft no ha detectado evidencia de uso indebido de tokens».
Si bien los trabajos de automatización están diseñados para aislarse por medio de un espacio aislado para evitar el acceso de otro código que se ejecuta en la misma máquina virtual, la vulnerabilidad hizo posible que un actor malintencionado ejecutara un trabajo en un espacio aislado de Azure para obtener los tokens de autenticación de otros trabajos de automatización.
«Alguien con intenciones maliciosas podría haber tomado tokens continuamente y, con cada token, ampliar el ataque a más clientes de Azure», señaló Tsarimi.
La divulgación se produce casi dos meses después de que Amazon Web Services (AWS) corrigiera dos vulnerabilidades, denominadas Super pegamento y RompiendoFormación – en las plataformas AWS Glue y CloudFormation que podrían haber sido objeto de abuso para acceder a datos de otros clientes de AWS Glue y filtrar archivos confidenciales.
En diciembre de 2021, Microsoft también resolvió otra debilidad de seguridad en Azure App Service que resultó en la exposición del código fuente de las aplicaciones de los clientes escritas en Java, Node, PHP, Python y Ruby durante al menos cuatro años desde septiembre de 2017.