Er zijn details bekendgemaakt over een nu aangepakte kritieke kwetsbaarheid in Microsoft’s Azure-automatisering service die ongeautoriseerde toegang tot andere Azure-klantaccounts mogelijk heeft gemaakt en de controle overneemt.
“Deze aanval kan volledige controle betekenen over bronnen en gegevens die bij het beoogde account horen, afhankelijk van de machtigingen die door de klant zijn toegewezen”, zegt Yanir Tsarimi, onderzoeker van Orca Security. zei in een maandag gepubliceerd rapport.
De fout bracht mogelijk verschillende entiteiten in gevaar, waaronder een niet nader genoemd telecommunicatiebedrijf, twee autofabrikanten, een bankconglomeraat en de vier grote accountantskantoren, waaronder het Israëlische cloudinfrastructuurbeveiligingsbedrijf.
De Azure Automation-service staat toe voor procesautomatisering, configuratiebeheer en het afhandelen van updates van het besturingssysteem binnen een gedefinieerd onderhoudsvenster in Azure- en niet-Azure-omgevingen.
nagesynchroniseerd “AutoWarp,” het probleem treft alle gebruikers van de Azure Automation-service die de Beheerde identiteit functie ingeschakeld. Het is vermeldenswaard dat deze functie standaard is ingeschakeld. Na verantwoorde bekendmaking op 6 december 2021 werd het probleem verholpen in een patch die op 10 december 2021 werd doorgevoerd.
“Azure Automation-accounts die gebruikmaakten van Managed Identities-tokens voor autorisatie en een Azure Sandbox voor runtime en uitvoering van taken werden zichtbaar”, Microsoft Security Response Center (MSRC) zei in een verklaring. “Microsoft heeft geen bewijs gevonden van misbruik van tokens.”
Hoewel de automatiseringstaken zijn ontworpen om te worden geïsoleerd door middel van een sandbox om toegang door andere code die op dezelfde virtuele machine wordt uitgevoerd te voorkomen, maakte de kwetsbaarheid het voor een kwaadwillende persoon die een taak in een Azure Sandbox uitvoerde mogelijk om de authenticatietokens van andere automatisering banen.
“Iemand met kwade bedoelingen had continu tokens kunnen pakken en met elk token de aanval kunnen uitbreiden naar meer Azure-klanten”, merkte Tsarimi op.
De onthulling komt bijna twee maanden nadat Amazon Web Services (AWS) twee kwetsbaarheden heeft verholpen – nagesynchroniseerd Superlijm en BreakingFormation – in de AWS Glue- en CloudFormation-services die zouden kunnen zijn misbruikt om toegang te krijgen tot gegevens van andere AWS Glue-klanten en om gevoelige bestanden te lekken.
In december 2021 loste Microsoft ook een andere zwakke plek in de beveiliging in de Azure App Service op die resulteerde in de blootstelling van de broncode van klantapplicaties die zijn geschreven in Java, Node, PHP, Python en Ruby gedurende ten minste vier jaar sinds september 2017.
