Los atacantes podr\u00edan explotar una “falla de dise\u00f1o” descubierta en Microsoft Azure para obtener acceso a las cuentas de almacenamiento, moverse lateralmente en el entorno e incluso ejecutar c\u00f3digo remoto.<\/p>\n
“Es posible abusar y aprovechar las cuentas de almacenamiento de Microsoft manipulando las funciones de Azure para robar tokens de acceso de identidades de mayor privilegio, moverse lateralmente, acceder potencialmente a activos comerciales cr\u00edticos y ejecutar c\u00f3digo remoto (RCE)”, dijo Orca en un nuevo informe<\/a> compartido con The Hacker News.<\/p>\n El camino de explotaci\u00f3n que sustenta este ataque es un mecanismo llamado Autorizaci\u00f3n de clave compartida<\/a>que est\u00e1 habilitado de forma predeterminada en las cuentas de almacenamiento.<\/p>\n Seg\u00fan Microsoft, Azure genera dos claves de acceso a la cuenta de almacenamiento de 512 bits al crear una cuenta de almacenamiento. Estas claves se pueden usar para autorizar el acceso a los datos a trav\u00e9s de la autorizaci\u00f3n de clave compartida o mediante tokens SAS que se firman con la clave compartida.<\/p>\n “Las claves de acceso a la cuenta de almacenamiento brindan acceso completo a la configuraci\u00f3n de una cuenta de almacenamiento, as\u00ed como a los datos”, Microsoft notas<\/a> en su documentaci\u00f3n. “El acceso a la clave compartida otorga a un usuario acceso completo a la configuraci\u00f3n de una cuenta de almacenamiento y sus datos”.<\/p>\n La firma de seguridad en la nube dijo que estos tokens de acceso pueden ser robados manipulando las funciones de Azure, lo que podr\u00eda permitir que un actor de amenazas tenga acceso a una cuenta con Rol de colaborador de la cuenta de almacenamiento<\/a> escalar privilegios y hacerse cargo de los sistemas.<\/p>\n Espec\u00edficamente, si un identidad administrada<\/a> usarse para invocar la aplicaci\u00f3n Funci\u00f3n, se podr\u00eda abusar de ella para ejecutar cualquier comando. Esto, a su vez, es posible gracias al hecho de que se crea una cuenta de almacenamiento dedicada al implementar una aplicaci\u00f3n de funciones de Azure.<\/p>\n “Una vez que un atacante localiza la cuenta de almacenamiento de una aplicaci\u00f3n de funci\u00f3n a la que se le asigna una identidad administrada s\u00f3lida, puede ejecutar c\u00f3digo en su nombre y, como resultado, adquirir una escalada de privilegios (PE) de suscripci\u00f3n”, dijo Roi Nisimi, investigador de Orca.<\/p>\n Aprenda a proteger el per\u00edmetro de identidad: estrategias comprobadas<\/p>\n Mejore la seguridad de su empresa con nuestro pr\u00f3ximo seminario web sobre ciberseguridad dirigido por expertos: \u00a1Explore las estrategias del per\u00edmetro de identidad!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n En otras palabras, al filtrar el token de acceso de la identidad administrada asignada de la aplicaci\u00f3n Azure Function a un servidor remoto, un actor de amenazas puede elevar los privilegios, moverse lateralmente, acceder a nuevos recursos y ejecutar un shell inverso en m\u00e1quinas virtuales.<\/p>\n “Al anular los archivos de funciones en las cuentas de almacenamiento, un atacante puede robar y exfiltrar una identidad de mayor privilegio y usarla para moverse lateralmente, explotar y comprometer las joyas de la corona m\u00e1s valiosas de las v\u00edctimas”, explic\u00f3 Nisimi.<\/p>\n Como mitigaciones, se recomienda que las organizaciones consideren deshabilitar la autorizaci\u00f3n de clave compartida de Azure y usar la autenticaci\u00f3n de Azure Active Directory en su lugar. En una divulgaci\u00f3n coordinada, Microsoft dicho<\/a> “planea actualizar c\u00f3mo funcionan las herramientas de cliente de Functions con las cuentas de almacenamiento”.<\/p>\n “Esto incluye cambios para mejorar los escenarios de soporte usando la identidad. Despu\u00e9s de que las conexiones basadas en identidad para AzureWebJobsStorage est\u00e9n disponibles en general y se validen las nuevas experiencias, la identidad se convertir\u00e1 en el modo predeterminado para AzureWebJobsStorage, que est\u00e1 destinado a alejarse de la autorizaci\u00f3n de clave compartida”, dijo el el gigante tecnol\u00f3gico a\u00f1adi\u00f3 adem\u00e1s.<\/p>\n Los hallazgos llegan semanas despu\u00e9s de que Microsoft solucion\u00f3 un problema de configuraci\u00f3n incorrecta que afectaba a Azure Active Directory que hizo posible alterar los resultados de b\u00fasqueda de Bing y una vulnerabilidad XSS reflejada en Azure Service Fabric Explorer (SFX) que podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo no autenticado.<\/p>\n <\/p>\n