Microsoft zahlte Tenable ein Bug-Bounty für einen Azure-Fehler, der angeblich keiner Korrektur, sondern nur einer besseren Dokumentation bedarf • The Register

Eine Sicherheitslücke – oder einfach nur, dass Azure wie vorgesehen funktioniert, je nachdem, wen Sie fragen – in der Cloud von Microsoft könnte es Kriminellen möglicherweise ermöglichen, Firewall-Regeln zu umgehen und auf die Webressourcen anderer Personen zuzugreifen.

Das von einem Forschungsteam der Tenable Vulnerability Assessment Group entdeckte Problem ist auf Service Tags zurückzuführen, eine Azure-Architektur.

Diese Tags können verwendet werden, um die von Azure-Diensten verwendeten IP-Adressen zu gruppieren, sodass es theoretisch einfacher ist, den Netzwerkzugriff auf und von diesen Ressourcen zu steuern. Wenn Sie beispielsweise möchten, dass ein bestimmter Azure-Dienst mit Ihrer Webanwendung interagiert, können Sie das Dienst-Tag verwenden, um nur Verbindungen dieses bestimmten Dienstes durch die Firewall zur Anwendung zuzulassen.

Microsoft schlägt vor, dass Azure-Benutzer beim Erstellen dieser Art von Sicherheitsrichtlinien diese auf Diensttags und nicht auf einzelne Azure-IP-Adressen anwenden.

Tenable geht davon aus, dass diese Tags von einem betrügerischen Azure-Kunden missbraucht werden könnten, um Zugriff auf die Daten anderer Kunden zu erhalten – ein mandantenübergreifender Angriff –, wenn diese Opfer in ihren Firewall-Regeln auf Service-Tags angewiesen sind. Microsoft wird das Problem jedoch nicht beheben, da Redmond das Problem nicht als Sicherheitslücke einstuft. Vielmehr geht Microsoft davon aus, dass es sich um ein Missverständnis darüber handelt, wie eine Entscheidung getroffen wird, „Dienstleistungsmarken und ihren beabsichtigten Zweck zu verwenden“.

Nachdem Tenable das Problem jedoch im Januar offengelegt hatte, bestätigte Microsoft, dass es sich um einen „privilegierten Fehler“ mit dem Schweregrad „kritisch“ handelte, und zahlte Tenable eine Fehlerprämie.

Einen Monat später entwickelte Microsoft laut Tenable einen „umfassenden Fix“ und einen Zeitplan für die Implementierung, beschloss jedoch später, das Problem nur mit einem „umfassenden Dokumentationsupdate“ zu beheben. Der Windows-Riese scheint zu glauben, dass Sicherheitslücken in Service-Tags am besten durch integrierte Sicherheitskontrollebenen behoben werden können.

„Wir freuen uns über die Zusammenarbeit mit Tenable, um die Risiken, die mit der Verwendung von Service-Tags als einzigem Mechanismus zur Untersuchung des sicheren Netzwerkverkehrs verbunden sind, verantwortungsvoll offenzulegen“, sagte ein Microsoft-Sprecher. Aufzeichnen.

„Wir ermutigen Kunden, bei der Validierung ihrer Sicherheitsmaßnahmen einen mehrschichtigen Sicherheitsansatz zu verfolgen, um nur vertrauenswürdigen Netzwerkverkehr gegenüber Service-Tokens zu authentifizieren“, fügte der Sprecher hinzu.

„Wir empfehlen unseren Kunden dringend, ihre Nutzung von Dienstleistungsmarken gemäß unseren Geschäftsbedingungen proaktiv zu überprüfen Blog„.

Anstelle eines Patches hat Microsoft daher eine „erweiterte Anleitung“ für Azure Service Tags veröffentlicht Seine Dokumente.

Aus sicherheitstechnischer Sicht ist die Behebung von Schwachstellen – sei es eine Kommunikationslücke oder eine Technologielücke – von entscheidender Bedeutung, um die Sicherheit der Benutzer zu gewährleisten.

„Eine weitere Untersuchung des Tenable-Berichts ergab, dass Service-Tags wie vorgesehen funktionieren und dass Best Practices in der Servicedokumentation klar kommuniziert werden sollten, wie wir es in unserer Folgekorrespondenz mit Tenable kommuniziert haben“, argumentierte der Windows-Hersteller.

In diesem Blogbeitrag stellt Microsoft fest, dass „nach unseren eigenen Untersuchungen keine Ausnutzung oder Missbrauch von Dienstleistungsmarken durch Dritte gemeldet oder in freier Wildbahn beobachtet wurde“.

In der Zwischenzeit kann es verteidigt werden, veröffentlicht Es enthält eine technische Beschreibung des Problems sowie ein Proof-of-Concept-Szenario, mit dem dieses Problem mithilfe von Azure App Services ausgenutzt werden kann.

Neben dem Cloud-Dienst von Microsoft betrifft die Sicherheitslücke laut Angaben mindestens zehn weitere Azure-Dienste. Dazu gehören Einblicke in Plattformanwendungen, DevOps, maschinelles Lernen, Logikanwendungen, Containerregistrierung, Lasttests, API-Management, Datenfabrik, Arbeitsgruppe, KI-Videoindex und das Chaos-Studio.

Dies ist nicht das erste Mal – oder sogar das zweite –, dass sich die beiden Sicherheitsfirmen über Redmonds Gewohnheiten bei der Offenlegung von Fehlern oder umfassendere Informationssicherheitspraktiken streiten.

Liv Matan, leitende Forschungsingenieurin, lehnte es ab, sich speziell zu Microsofts Entscheidung, keinen Patch zu veröffentlichen, zu äußern oder ihn in diesem Fall als Schwachstelle zu bezeichnen. Er sagte, egal wie man es beschreibe, es müsse angegangen werden, um die Sicherheit der Benutzer zu gewährleisten.

„Viele Kunden nutzen Azure Service Tags, um eine Netzwerkisolation zu erreichen“, sagte Mattan. Aufzeichnen. „Unsere neue Entdeckung hat gezeigt, wie Angreifer diese Isolierung durchbrechen und Zugriff auf interne Kundenressourcen erhalten können. Aus Sicherheitsgründen ist die Behebung von Schwachstellen – sei es eine Kommunikationslücke oder eine Technologielücke – von entscheidender Bedeutung, um die Sicherheit der Benutzer zu gewährleisten.“

Um die Sicherheitslücke im Detail zu verstehen, lesen Sie die vertretbare Empfehlung. Kurz gesagt läuft es darauf hinaus, dass Benutzer über verschiedene Azure-Dienste anpassbare HTTP-Anfragen an Webanwendungen senden dürfen und diese Anwendungen den Anfragen vertrauen, weil sie von einem Dienst stammen, der durch das Service-Tag abgedeckt ist.

Daher glauben wir, dass es für einen Azure-Benutzer möglich ist, die Kontrolle über HTTP-Anfragen zu übernehmen, die von einem Azure-Dienst an einen anderen Client gesendet werden, und wenn dieser andere Client der Anfrage blind vertraut – weil sie von einem Dienst stammt, der durch das Service-Tag abgedeckt ist – erreicht sie die Opferanwendung, sodass der betrügerische Benutzer diese Anwendung beispielsweise aus der Ferne steuern oder überwachen kann.

„Wenn ein Dienst Benutzern die Möglichkeit gibt, Anfragen serverseitig zu steuern, und der Dienst an Azure Service Tags gebunden ist, kann es riskant werden, wenn der Kunde nicht über zusätzliche Schutzebenen verfügt“, warnte Tenable.

Um diese Art von Missbrauch zu verhindern, empfiehlt Microsoft, Authentifizierungs- und Autorisierungsprüfungen hinzuzufügen und sich nicht ausschließlich auf Firewall-Regeln zu verlassen.

So gehen Kunden beispielsweise, die Azure Monitoring-Verfügbarkeitstests verwenden, mit denen sie die Betriebszeit ihrer Ressourcen überwachen können, wie folgt vor:

Das Endergebnis besteht laut beiden Anbietern darin, mehrere Sicherheitsebenen zu implementieren, um wertvolle Ressourcen und Daten zu schützen. ®