Sono state identificate due differenti vulnerabilità nell’infrastruttura di Microsoft Azure: la prima è di tipo RCE (Remote Code Execution) ed è stata classificata con un indice di gravità massimo pari a 10,0 sul Common Vulnerability Scoring System (CVSS). La seconda, invece, è una vulnerabilità di tipo spoofing.
Qualora venissero sfruttate con successo, potrebbero consentire ad un attaccante remoto di compromettere i server cloud Azure, rubare dati sensibili e assumerne potenzialmente il pieno controllo.
Le due vulnerabilità sono state scoperte dai ricercatori di sicurezza di Check Point e riguardano i moduli Azure Stack e Azure App Service. Identificate, rispettivamente, come CVE-2019-1234 e CVE-2019-1372, sono state prontamente segnalate a Microsoft che ha già rilasciato le patch per entrambi i difetti di sicurezza.
Indice degli argomenti
Vulnerabilità in Microsoft Azure, ecco i rischi
Microsoft Azure Stack è una soluzione software di cloud computing sviluppata da Microsoft che è stata progettata per aiutare le imprese a fornire i servizi Azure dal proprio data center.
La vulnerabilità che interessa questo modulo è di tipo spoofing e potrebbe consentire a un utente malintenzionato di accedere da remoto a informazioni sensibili di qualsiasi macchina virtuale in esecuzione.
Per individuare e studiare questa vulnerabilità, i ricercatori di Check Point hanno installato l’Azure Stack Development Kit (ASDK) sui loro server e mappato i luoghi in cui potevano potenzialmente annidarsi le vulnerabilità.
Dalle ricerche è quindi emerso che la Web App Service Fabric Explorer (tipicamente preinstallata sulle macchine) poteva consentire l’accesso ad alcuni servizi in esecuzione sul server senza richiedere alcun tipo di autenticazione.
Approfittando di questa vulnerabilità, gli aggressori potevano quindi sfruttare il portale utente di Azure Stack inviando una richiesta appositamente creata con un attacco di tipo Server-Side Request Forgery (SSRF) ed eseguire uno screenshot delle informazioni sensibili della macchina che gira sulla nuvola di Azure di Microsoft.
Vulnerabilità in Microsoft Azure, così possono controllare i server
Azure App Service è invece un servizio Platform as a Service (PaaS) che integra i siti web Microsoft Azure, i servizi mobile e altri servizi. Azure App Service offre agli utenti diverse funzionalità come il provisioning, la distribuzione e la creazione di app iOS, Android e Windows, l’automazione dei processi aziendali unite a un’esperienza di progettazione visiva e l’integrazione con applicazioni SaaS.
Come dicevamo, la vulnerabilità in questo caso è di tipo RCE (Remote Code Execution) e potrebbe consentire agli aggressori di sfruttare una funzione non privilegiata da parte dell’utente per eseguire il codice e sfuggire alla sandbox del server in un contesto di privilegi NT AUTHORITYsystem.
In questo caso, i ricercatori di sicurezza di Check Point hanno dimostrato che un eventuale aggressore potrebbe compromettere le applicazioni, i dati e gli account creando un utente gratuito in Azure Cloud ed eseguendo funzioni Azure dannose.
Il risultato finale lo porterebbe ad assumere il controllo dell’intero server Azure e, di conseguenza, prendere il controllo di tutto il codice aziendale.
Ecco come mettere in sicurezza i servizi cloud: la patch
Per mettere al sicuro i dati sensibili e l’intera infrastruttura cloud è ovviamente raccomandato l’aggiornamento di tutte le componenti di Azure installando le patch che Microsoft ha già rilasciato in occasione del Patch Tuesday dello scorso mese di novembre 2019.
