En av grunnene til at noen organisasjoner foretrekker hybride skytjenester som Microsoft Azure Stack, er muligheten til å holde sensitive data på en sikker måte.
Men Check Point Research-analytikere avslørte to kritiske sikkerhetsproblemer i den lokale plattformen for en tid tilbake, og de har nå gitt ut en rapport som beskriver hvordan de gjorde det.
Noen tjenesteforespørsler krevde ingen validering i Azure Stack
Forskerne var i stand til å demonstrere hvordan en ondsinnet skuespiller kunne utnytte et tilsynelatende mindre tilsyn med programvaredesign for å forårsake alvorlige problemer.
De ble overrasket over å oppdage at noen forespørsler i Azure ikke krever autentisering. Sårbarheten gjorde det mulig for dem å få tilgang til spesifikke interne Azure Stack-ressurser.
I vårt tilfelle, fordi DataService ikke krevde autentisering, tillot dette oss til slutt å få skjermbilder og informasjon om leietakere og infrastrukturmaskiner.
Det andre sikkerhetsproblemet de identifiserte er forfalskning på serversiden (SSRF). Denne feilen gjorde det mulig for dem å dra nytte av mangelen på validering av forespørsel i Azure ved å distribuere en spesiallaget forespørsel via plattformens brukerportal.
Hvordan de trakk det av
Analytikerne startet med å sette opp Azure Stack på sin egen datamaskin for å lage en privat sky. De identifiserte deretter "DataService" som en av tjenestene på plattformen som ikke krevde validering.
Ved videre utforskning av API-er, oppdaget de at de kunne få mye informasjon på Azure Stack-maskiner, for eksempel enhets-ID og systemspesifikasjoner..
Til slutt kunne forskerne påkalle visse funksjoner og ta skjermbilder på bestemte maskiner. Ved å utføre et SSRF-brudd klarte de å få tilgang til "DataService" og levere en skjermbildeforespørsel uten noen hindring på serversiden.
Azure Stack-kunder trenger ikke lenger å bekymre seg for falske trusler fordi Microsoft ga en sikkerhetsoppdatering for den. Likevel kan man ikke unngå å lure på om Azure-skyen noen gang hadde det samme problemet, med tanke på at den deler lignende funksjoner med det lokale alternativet.
Check Point Research kunne ikke utsette Microsofts offentlige skyinfrastruktur for en lignende test på grunn av komplikasjonene involvert.
Azure har kommet langt, likevel. Basert på den økonomiske ytelsen for andre kvartal, er produktet avgjørende for Microsofts samlede omsetningsvekst.
Forhåpentligvis validerer den offentlige skyløsningen alle tjenesteforespørsler for å minimere risikoen for SSRF-inntrenging.
- Microsoft
- Microsoft Azure