Los atacantes podrían explotar una “falla de diseño” descubierta en Microsoft Azure para obtener acceso a las cuentas de almacenamiento, moverse lateralmente en el entorno e incluso ejecutar código remoto.
“Es posible abusar y aprovechar las cuentas de almacenamiento de Microsoft manipulando las funciones de Azure para robar tokens de acceso de identidades de mayor privilegio, moverse lateralmente, acceder potencialmente a activos comerciales críticos y ejecutar código remoto (RCE)”, dijo Orca en un nuevo informe compartido con The Hacker News.
El camino de explotación que sustenta este ataque es un mecanismo llamado Autorización de clave compartidaque está habilitado de forma predeterminada en las cuentas de almacenamiento.
Según Microsoft, Azure genera dos claves de acceso a la cuenta de almacenamiento de 512 bits al crear una cuenta de almacenamiento. Estas claves se pueden usar para autorizar el acceso a los datos a través de la autorización de clave compartida o mediante tokens SAS que se firman con la clave compartida.
“Las claves de acceso a la cuenta de almacenamiento brindan acceso completo a la configuración de una cuenta de almacenamiento, así como a los datos”, Microsoft notas en su documentación. “El acceso a la clave compartida otorga a un usuario acceso completo a la configuración de una cuenta de almacenamiento y sus datos”.
La firma de seguridad en la nube dijo que estos tokens de acceso pueden ser robados manipulando las funciones de Azure, lo que podría permitir que un actor de amenazas tenga acceso a una cuenta con Rol de colaborador de la cuenta de almacenamiento escalar privilegios y hacerse cargo de los sistemas.
Específicamente, si un identidad administrada usarse para invocar la aplicación Función, se podría abusar de ella para ejecutar cualquier comando. Esto, a su vez, es posible gracias al hecho de que se crea una cuenta de almacenamiento dedicada al implementar una aplicación de funciones de Azure.
“Una vez que un atacante localiza la cuenta de almacenamiento de una aplicación de función a la que se le asigna una identidad administrada sólida, puede ejecutar código en su nombre y, como resultado, adquirir una escalada de privilegios (PE) de suscripción”, dijo Roi Nisimi, investigador de Orca.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
En otras palabras, al filtrar el token de acceso de la identidad administrada asignada de la aplicación Azure Function a un servidor remoto, un actor de amenazas puede elevar los privilegios, moverse lateralmente, acceder a nuevos recursos y ejecutar un shell inverso en máquinas virtuales.
“Al anular los archivos de funciones en las cuentas de almacenamiento, un atacante puede robar y exfiltrar una identidad de mayor privilegio y usarla para moverse lateralmente, explotar y comprometer las joyas de la corona más valiosas de las víctimas”, explicó Nisimi.
Como mitigaciones, se recomienda que las organizaciones consideren deshabilitar la autorización de clave compartida de Azure y usar la autenticación de Azure Active Directory en su lugar. En una divulgación coordinada, Microsoft dicho “planea actualizar cómo funcionan las herramientas de cliente de Functions con las cuentas de almacenamiento”.
“Esto incluye cambios para mejorar los escenarios de soporte usando la identidad. Después de que las conexiones basadas en identidad para AzureWebJobsStorage estén disponibles en general y se validen las nuevas experiencias, la identidad se convertirá en el modo predeterminado para AzureWebJobsStorage, que está destinado a alejarse de la autorización de clave compartida”, dijo el el gigante tecnológico añadió además.
Los hallazgos llegan semanas después de que Microsoft solucionó un problema de configuración incorrecta que afectaba a Azure Active Directory que hizo posible alterar los resultados de búsqueda de Bing y una vulnerabilidad XSS reflejada en Azure Service Fabric Explorer (SFX) que podría conducir a la ejecución remota de código no autenticado.
About the Author
