Onderzoekers beschrijven kritieke kwetsbaarheid Microsofts Azure App Service

Onderzoekers van beveiligingsbedrijf Check Point beschrijven een kritieke kwetsbaarheid in de infrastructuur van Microsofts Azure App Service, waarmee op afstand code was uit te voeren. Onder omstandigheden waren apps en accounts van derde partijen te benaderen.

Volgens Check Point was het doel van het onderzoek om aan te tonen dat de aanname dat de infrastructuur van clouddiensten veilig is, niet klopt. Het bedrijf richtte zich op de Azure App Service van Microsoft, een dienst waarmee ontwikkelaars webapps kunnen bouwen en laten hosten. De onderzoekers vonden een manier om op afstand een crash te veroorzaken op accounts, maar volgens hen was het verhogen van rechten op afstand ook mogelijk. Dit stelt aanvallers in staat code uit te voeren voor verder misbruik.

Omdat Microsoft gedeelde App Service-abonnementen aanbiedt, was het onder omstandigheden ook mogelijk over te springen naar accounts, apps en data van andere klanten om daar code uit te voeren. Die apps van Free- en Shared-abonnementen draaien namelijk op dezelfde virtuele Azure-machine en maken gebruik van dezelfde hardware. Een tweede kwetsbaarheid betrof het kunnen maken van schermafbeeldingen van gehuurde Azure-machines, om zo informatie over de systemen en klanten te verkrijgen.

Check Point gebruikte de Azure Stack Development Kit, die lokaal draait, maar volgens het bedrijf spelen de kwetsbaarheden ook bij de online-infrastructuur. De kwetsbaarheden hebben de aanduidingen CVE-2019-1372 en CVE-2019-1234 gekregen en zijn vorig jaar oktober en november al door Microsoft gedicht. Microsoft beschrijft het lek als een kwetsbaarheid die het uitvoeren van code op afstand mogelijk maakt als Azure Stack de lengte van een buffer niet controleert voordat het daar geheugen naar kopieert.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 31-01-2020 11:05
13 • submitter: rvvliet

31-01-2020 • 11:05

13

Submitter: rvvliet

Lees meer

Check Point neemt cyberbeveiligingsbedrijf Perimeter 81 over
Check Point neemt cyberbeveiligingsbedrijf Perimeter 81 over Nieuws van 10 augustus 2023
Microsoft voert restricties Azure-diensten door na toename gebruik - update
Microsoft voert restricties Azure-diensten door na toename gebruik - update Nieuws van 30 maart 2020
Hackers misbruiken gat in kwetsbare maar digitaal ondertekende Gigabyte-driver
Hackers misbruiken gat in kwetsbare maar digitaal ondertekende Gigabyte-driver Nieuws van 9 februari 2020
Intel waarschuwt voor nieuw lek in Core-processors dat gegevens prijsgeeft
Intel waarschuwt voor nieuw lek in Core-processors dat gegevens prijsgeeft Nieuws van 14 juni 2018
Microsoft start tijdelijk bugbountyprogramma voor lekken als Meltdown en Spectre
Microsoft start tijdelijk bugbountyprogramma voor lekken als Meltdown en Spectre Nieuws van 15 maart 2018
Microsoft beloont onderzoeker met 13.000 dollar voor ernstig authenticatielek
Microsoft beloont onderzoeker met 13.000 dollar voor ernstig authenticatielek Nieuws van 4 april 2016
Meer producten en artikelen
Beveiliging en antivirus Azure

Reacties (13)

-Moderatie-faq
13
13
6
3
0
5
Wijzig sortering

Sorteer op:

Weergave:
timvisee 31 januari 2020 11:19
>Die apps van Free- en Shared-abonnementen draaien namelijk op dezelfde virtuele Azure-machine en maken gebruik van dezelfde hardware. Een betrof het kunnen maken van schermafbeeldingen van gehuurde Azure-machines, om zo informatie over de systemen en klanten te verkrijgen.

Lees ik het nou goed, dat er meerdere user applicaties in dezelfde virtuele omgeving worden gedraaid? Is hier uberhaubt iets van isolatie aanwezig?

Dat is op z'n minst zeer zorgwekkend, en een serieuze security kwestie, als blijkt.

Ik ben van mening dat je nooit dit soort security shortcuts mag nemen, ook al is het een zeer goedkope (of gratis) tier.

[Reactie gewijzigd door timvisee op 23 juli 2024 07:58]

Caayn @timvisee31 januari 2020 11:22
Dat lees jij goed, maar dat is niet verplicht. De applicaties zijn uiteraard gescheiden van elkaar maar draaien wel op dezelfde host. Nu is er dus een gat geprikt in de beveiligingslaag tussen applicaties op dezelfde host.

Als jij wilt dat jouw applicatie de enige is op een host is dat ook een optie maar dan hangt daar ook een ander prijs kaartje aan.
Als je applicatie draait die ook maar iets van (gevoelige) data verwerkt, kun je het in feite dus niet op deze manier/in deze omgeving hosten.
Als isolatie voor jou van belang is dan maak je dus gebruik van de optie om een host exclusief voor jouw applicatie te krijgen.

[Reactie gewijzigd door Caayn op 23 juli 2024 07:58]

ctrl-tab @Caayn31 januari 2020 11:34
Een App Service Environment in het geval van Azure Functions, waar het probleem van toepassing was.
Dan heb je dedicated geisoleerde hardware voor je hele Appservice laag.

Met natuurlijk reduced scalability options (snel opschalen kan alleen binnen de grenzen).

Heb het in het verleden wel eens App Service Environments ingezet voor een partij waar security top prioriteit was. Niet zozeer vanwege de hardware isolatie maar vooral vanwege de traditionel security eisen die er toen op tafel lagen (old school netwerk zonering was destijds nog niet mogelijk in combinatie met 'normale' app services).
RCTycooner @timvisee31 januari 2020 11:22
Enkel in het geval van de Free en Shared (heel goedkoop) tiers. In alle hogere tiers heb je je eigen VM waarop je site draait.

Normaal kan je ook niet zomaar aan de andere sites op dezelfde VM als waar jij je op bevindt, maar dat zat dus blijkbaar niet goed genoeg dichtgetimmerd...
bartje @timvisee31 januari 2020 11:22
dit hoeft niet perse een probleem te zijn, heel veel hosting bedrijven gebruiken deze methode.
het is natuurlijk wel zaak dat de security goed ingeregeld wordt.
Dit is namelijk veel goedkoper dan voor iedere klant een losse omgeving op te zetten.
daarnaast is dit bij app-services volgens mij een keuze, ga je naar duurder dan krijg je wel een private omgeving. dus als je dit als klant niet wilt dan kun je daar voor kiezen.
timvisee @bartje31 januari 2020 11:26
Als het om shared web hosting gaat, ja. Daar worden zaken echter geïsoleerd op webserver en PHP (open_basedir, enz) niveau. Dat is op deze Azure tiers niet het geval, of zie ik dat verkeerd?
musiman @timvisee31 januari 2020 14:24
Azure maakt gebruik van NVGRE om de tenants uit elkaar te houden.
Eloy @musiman31 januari 2020 14:42
Ja, dat is leuk, maar dat lijkt me niet gedaan vanwege security redenen. Dit virtualiseert IP adressen zodat je er meer op één host kan hebben.
musiman @Eloy31 januari 2020 14:47
Ik had het ook niet over security, maar reageerde op "Daar worden zaken echter geïsoleerd op webserver en PHP (open_basedir, enz) niveau". Oftewel, hoe hou je de tenants gescheiden. :)
Eloy @musiman31 januari 2020 14:49
Ja, en open_basedir is dus een security maatregel.
Scriptkid 31 januari 2020 12:13
Check Point gebruikte de Azure Stack Development Kit, die lokaal draait, maar volgens het bedrijf spelen de kwetsbaarheden ook bij de online-infrastructuur.
Dat is wel een hele grote aan name zonder het aan te tonen gezien azure stack en azure toch wel heel andere versies draaien.

[Reactie gewijzigd door Scriptkid op 23 juli 2024 07:58]

Matthijs Hoekstra @Scriptkid31 januari 2020 15:49
ja dat was ook mijn eerste gedachte? Is het nu azure stack of the azure application service (of beide?)
jimmohhh @Matthijs Hoekstra31 januari 2020 19:31
Ik meen ergens gelezen te hebben dat Microsoft dit bevestigd heeft. Kan echter de bron hiervan niet meer vinden.

Edit: Gevonden. De vulnerability was ook aanwezig in Azure Cloud:
"Check Point did not attack the cloud itself, but used the offline Azure Stack, a near perfect replica of the cloud environment. With the vulnerabilities detected, they then confirmed with Microsoft that the same ones would apply to the cloud itself. Yes, said Microsoft, patching the holes and paying Check Point a bounty."
Bron: https://www.forbes.com/si...d-security-nightmare/amp/

[Reactie gewijzigd door jimmohhh op 23 juli 2024 07:58]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq