Onderzoekers beschrijven kritieke kwetsbaarheid Microsofts Azure App Service

Onderzoekers van beveiligingsbedrijf Check Point beschrijven een kritieke kwetsbaarheid in de infrastructuur van Microsofts Azure App Service, waarmee op afstand code was uit te voeren. Onder omstandigheden waren apps en accounts van derde partijen te benaderen.

Volgens Check Point was het doel van het onderzoek om aan te tonen dat de aanname dat de infrastructuur van clouddiensten veilig is, niet klopt. Het bedrijf richtte zich op de Azure App Service van Microsoft, een dienst waarmee ontwikkelaars webapps kunnen bouwen en laten hosten. De onderzoekers vonden een manier om op afstand een crash te veroorzaken op accounts, maar volgens hen was het verhogen van rechten op afstand ook mogelijk. Dit stelt aanvallers in staat code uit te voeren voor verder misbruik.

Omdat Microsoft gedeelde App Service-abonnementen aanbiedt, was het onder omstandigheden ook mogelijk over te springen naar accounts, apps en data van andere klanten om daar code uit te voeren. Die apps van Free- en Shared-abonnementen draaien namelijk op dezelfde virtuele Azure-machine en maken gebruik van dezelfde hardware. Een tweede kwetsbaarheid betrof het kunnen maken van schermafbeeldingen van gehuurde Azure-machines, om zo informatie over de systemen en klanten te verkrijgen.

Check Point gebruikte de Azure Stack Development Kit, die lokaal draait, maar volgens het bedrijf spelen de kwetsbaarheden ook bij de online-infrastructuur. De kwetsbaarheden hebben de aanduidingen CVE-2019-1372 en CVE-2019-1234 gekregen en zijn vorig jaar oktober en november al door Microsoft gedicht. Microsoft beschrijft het lek als een kwetsbaarheid die het uitvoeren van code op afstand mogelijk maakt als Azure Stack de lengte van een buffer niet controleert voordat het daar geheugen naar kopieert.

Door Olaf van Miltenburg

Nieuwscoördinator

31-01-2020 • 11:05

13

Submitter: rvvliet

Reacties (13)

Sorteer op:

Weergave:

>Die apps van Free- en Shared-abonnementen draaien namelijk op dezelfde virtuele Azure-machine en maken gebruik van dezelfde hardware. Een betrof het kunnen maken van schermafbeeldingen van gehuurde Azure-machines, om zo informatie over de systemen en klanten te verkrijgen.

Lees ik het nou goed, dat er meerdere user applicaties in dezelfde virtuele omgeving worden gedraaid? Is hier uberhaubt iets van isolatie aanwezig?

Dat is op z'n minst zeer zorgwekkend, en een serieuze security kwestie, als blijkt.

Ik ben van mening dat je nooit dit soort security shortcuts mag nemen, ook al is het een zeer goedkope (of gratis) tier.

[Reactie gewijzigd door timvisee op 23 juli 2024 07:58]

Dat lees jij goed, maar dat is niet verplicht. De applicaties zijn uiteraard gescheiden van elkaar maar draaien wel op dezelfde host. Nu is er dus een gat geprikt in de beveiligingslaag tussen applicaties op dezelfde host.

Als jij wilt dat jouw applicatie de enige is op een host is dat ook een optie maar dan hangt daar ook een ander prijs kaartje aan.
Als je applicatie draait die ook maar iets van (gevoelige) data verwerkt, kun je het in feite dus niet op deze manier/in deze omgeving hosten.
Als isolatie voor jou van belang is dan maak je dus gebruik van de optie om een host exclusief voor jouw applicatie te krijgen.

[Reactie gewijzigd door Caayn op 23 juli 2024 07:58]

Een App Service Environment in het geval van Azure Functions, waar het probleem van toepassing was.
Dan heb je dedicated geisoleerde hardware voor je hele Appservice laag.

Met natuurlijk reduced scalability options (snel opschalen kan alleen binnen de grenzen).

Heb het in het verleden wel eens App Service Environments ingezet voor een partij waar security top prioriteit was. Niet zozeer vanwege de hardware isolatie maar vooral vanwege de traditionel security eisen die er toen op tafel lagen (old school netwerk zonering was destijds nog niet mogelijk in combinatie met 'normale' app services).
Enkel in het geval van de Free en Shared (heel goedkoop) tiers. In alle hogere tiers heb je je eigen VM waarop je site draait.

Normaal kan je ook niet zomaar aan de andere sites op dezelfde VM als waar jij je op bevindt, maar dat zat dus blijkbaar niet goed genoeg dichtgetimmerd...
dit hoeft niet perse een probleem te zijn, heel veel hosting bedrijven gebruiken deze methode.
het is natuurlijk wel zaak dat de security goed ingeregeld wordt.
Dit is namelijk veel goedkoper dan voor iedere klant een losse omgeving op te zetten.
daarnaast is dit bij app-services volgens mij een keuze, ga je naar duurder dan krijg je wel een private omgeving. dus als je dit als klant niet wilt dan kun je daar voor kiezen.
Als het om shared web hosting gaat, ja. Daar worden zaken echter geïsoleerd op webserver en PHP (open_basedir, enz) niveau. Dat is op deze Azure tiers niet het geval, of zie ik dat verkeerd?
Azure maakt gebruik van NVGRE om de tenants uit elkaar te houden.
Ja, dat is leuk, maar dat lijkt me niet gedaan vanwege security redenen. Dit virtualiseert IP adressen zodat je er meer op één host kan hebben.
Ik had het ook niet over security, maar reageerde op "Daar worden zaken echter geïsoleerd op webserver en PHP (open_basedir, enz) niveau". Oftewel, hoe hou je de tenants gescheiden. :)
Ja, en open_basedir is dus een security maatregel.
Check Point gebruikte de Azure Stack Development Kit, die lokaal draait, maar volgens het bedrijf spelen de kwetsbaarheden ook bij de online-infrastructuur.
Dat is wel een hele grote aan name zonder het aan te tonen gezien azure stack en azure toch wel heel andere versies draaien.

[Reactie gewijzigd door Scriptkid op 23 juli 2024 07:58]

ja dat was ook mijn eerste gedachte? Is het nu azure stack of the azure application service (of beide?)
Ik meen ergens gelezen te hebben dat Microsoft dit bevestigd heeft. Kan echter de bron hiervan niet meer vinden.

Edit: Gevonden. De vulnerability was ook aanwezig in Azure Cloud:
"Check Point did not attack the cloud itself, but used the offline Azure Stack, a near perfect replica of the cloud environment. With the vulnerabilities detected, they then confirmed with Microsoft that the same ones would apply to the cloud itself. Yes, said Microsoft, patching the holes and paying Check Point a bounty."
Bron: https://www.forbes.com/si...d-security-nightmare/amp/

[Reactie gewijzigd door jimmohhh op 23 juli 2024 07:58]

Op dit item kan niet meer gereageerd worden.