Onderzoekers van beveiligingsbedrijf Check Point beschrijven een kritieke kwetsbaarheid in de infrastructuur van Microsofts Azure App Service, waarmee op afstand code was uit te voeren. Onder omstandigheden waren apps en accounts van derde partijen te benaderen.
Volgens Check Point was het doel van het onderzoek om aan te tonen dat de aanname dat de infrastructuur van clouddiensten veilig is, niet klopt. Het bedrijf richtte zich op de Azure App Service van Microsoft, een dienst waarmee ontwikkelaars webapps kunnen bouwen en laten hosten. De onderzoekers vonden een manier om op afstand een crash te veroorzaken op accounts, maar volgens hen was het verhogen van rechten op afstand ook mogelijk. Dit stelt aanvallers in staat code uit te voeren voor verder misbruik.
Omdat Microsoft gedeelde App Service-abonnementen aanbiedt, was het onder omstandigheden ook mogelijk over te springen naar accounts, apps en data van andere klanten om daar code uit te voeren. Die apps van Free- en Shared-abonnementen draaien namelijk op dezelfde virtuele Azure-machine en maken gebruik van dezelfde hardware. Een tweede kwetsbaarheid betrof het kunnen maken van schermafbeeldingen van gehuurde Azure-machines, om zo informatie over de systemen en klanten te verkrijgen.
Check Point gebruikte de Azure Stack Development Kit, die lokaal draait, maar volgens het bedrijf spelen de kwetsbaarheden ook bij de online-infrastructuur. De kwetsbaarheden hebben de aanduidingen CVE-2019-1372 en CVE-2019-1234 gekregen en zijn vorig jaar oktober en november al door Microsoft gedicht. Microsoft beschrijft het lek als een kwetsbaarheid die het uitvoeren van code op afstand mogelijk maakt als Azure Stack de lengte van een buffer niet controleert voordat het daar geheugen naar kopieert.