Los analistas de Test Place Exploration que descubrieron dos vulnerabilidades en la infraestructura de nube de Microsoft Azure han publicado los detalles de cómo se encontraron estos defectos y cómo los atacantes podrían usarlos.
El equipo de investigación comenzó a explorar la infraestructura de Azure en un esfuerzo «para refutar la suposición de que las infraestructuras de la nube son seguras», dice el investigador de seguridad Ronen Shustin en un entrada en el web site. Check Level informó a Microsoft de las vulnerabilidades que se descubrieron a lo largo de 2019 A finales de año se implementaron parches de seguridad para ambos defectos.
CVE-2019-1234 es un mistake de falsificación de solicitudes del lado del servidor en un entorno de Azure regional llamado Azure Stack, una herramienta de nube híbrida para uso empresarial. Existe un mistake de suplantación cuando Azure Stack no puede validar ciertas solicitudes. Los atacantes podrían explotar esto enviando una solicitud diseñada al portal Azure Stack si tienen éxito, podrían realizar solicitudes a los recursos internos de Azure Stack.
Los investigadores llevaron a cabo esta investigación instalando primero el Package de desarrollo de pila de Azure (ASDK) en sus propios servidores y asignando áreas que creían que podrían encontrar vulnerabilidades. ASDK viene con un conjunto de componentes principales que se pueden ampliar a través de características como App Services y SQL Suppliers, entre otros. Los investigadores explican que tiene un número limitado de características en comparación con la nube de Azure y, por lo normal, ejecuta software con un par de versiones detrás. Azure Stack comparte características similares con la nube pública de Azure, por lo que se centraron en esos vectores.
Un servicio de Azure Stack que investigaron se llamaba DataService, que no requería ninguna autenticación. Esta falla podría permitir a un atacante obtener datos confidenciales pertenecientes a cualquier empresa con su máquina ejecutándose en Azure, ya sea en una máquina compartida o aislada. Primero tendrían que obtener acceso a Azure Stack Portal y luego enviar solicitudes HTTP no autenticadas, que podrían proporcionar capturas de pantalla y datos sobre los inquilinos y las máquinas de infraestructura.
Esta vulnerabilidad solo es válida para Azure Stack, que también es «un vector de ataque muy válido», dijo Yaniv Balmas, jefe de investigación de seguridad, en una reunión con periodistas en el evento CPX 360 de la semana pasada. «Prácticamente, si alguien tiene una gran pila de Azure con muchos inquilinos, puedo tomar capturas de pantalla de otras máquinas. Podría ser peligroso no podría serlo. Depende».
Vulnerabilidad de ejecución remota de código CVE-2019-1372 está en Azure App Support, que permite a los usuarios crear y alojar aplicaciones internet, backends móviles y API relajantes en un lenguaje de programación que elijan sin administrar la infraestructura. El mistake existe cuando Azure Stack no puede verificar la longitud de un búfer antes de copiarle memoria. Un atacante podría permitir que una función no privilegiada, ejecutada por el usuario, ejecute código en el contexto de NT AUTHORITY / technique y escape del entorno limitado.
Los atacantes podrían usar esta vulnerabilidad para comprometer las aplicaciones, los datos y las cuentas de los inquilinos al crear un usuario gratuito en la nube de Azure y ejecutar funciones maliciosas de Azure. Alternativamente, ellos podría enviar solicitudes HTTP no autenticadas al portal de usuario de Azure Stack. Si tienen éxito, podrían tomar el command de todo el servidor Azure y el código comercial que posee.
«(Esto) puede dar una visibilidad completa de cada carga de trabajo que se ejecuta en el mismo servidor», dijo Balmas. «(Yo) puedo modificarlos, puedo eliminarlos, puedo hacer lo que quiera».
En su investigación, Test Level solo usó esta vulnerabilidad para demostrar cómo podría explotarse para bloquear el Servicio Dynamic WAS (DWASSVC). Sin embargo, también podría usarse para la escalada de privilegios, explican en un entrada en el blog sobre CVE-2019-1372.
Contenido relacionado:
Kelly Sheridan es la Editora de private de Darkish Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Coverage & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa
Más suggestions
