Tenable’daki güvenlik araştırmacılarından gelen bir rapor, Microsoft’un Azure bulut hizmetlerinde kiracılar arası bir bilgi ifşası hatasını düzeltmesine yol açtı.
Tenable’a göre, sorun “kiracılar arası uygulamalara ve hassas verilere (kimlik doğrulama sırları dahil ancak bunlarla sınırlı olmamak üzere) sınırlı, yetkisiz erişime” yol açtı.
Tenable’a göre, bir müşteri Microsoft’un Power Platform’unda özel bağlantılar çalıştırdığında başlatılan Azure İşlev ana bilgisayarları, yetersiz erişim kontrolüne sahipti.
Bir saldırgan, özel bir bağlayıcıyla ilişkili bir Azure İşlevinin ana bilgisayar adını belirlediyse, bu hatayı kimlik doğrulaması olmadan bu işlevle etkileşim kurmak için kullanabilir.
Oradan, “bir saldırgan, yalnızca bir tamsayı ile farklılık gösterdiğinden, diğer müşterilerin özel bağlayıcılarıyla ilişkili Azure İşlevleri için ana bilgisayar adlarını belirleyebilir.
Bu, diğer kullanıcıları açığa çıkarmak için bir POST komutundaki sayıları adım adım ilerleten bir numaralandırma saldırısını mümkün kıldı.
Tenable, “Sonuç olarak, güvenli olmayan Azure İşlev ana bilgisayarlarıyla etkileşim kurarken OAuth istemci kimliklerini ve sırlarını ve diğer kimlik doğrulama biçimlerini engellemek mümkün oldu” dedi.
Microsoft, danışma belgesinde, soruşturmasının, yalnızca Tenable’ın araştırmacısının, o zamandan beri yamaladığı hata aracılığıyla “anormal erişim” elde ettiğini gösterdiğini söyledi.
Ancak, yamayı yayınlamak biraz zaman aldı.
Tenable, hatayı ilk olarak 30 Mart’ta bildirdiğini ve Microsoft, 7 Haziran’da müşterilerin “çoğunluğu” için hatayı düzelttiğini söyledi.
Ancak Tenable tarafından yapılan ek testler, düzeltmenin eksik olduğunu gösterdi. Microsoft’un danışma belgesi, “geçici olarak silinmiş durumdaki çok küçük bir özel kod alt kümesinin hala etkilendiğini” etkilemeye devam ettiğini söyledi.
“Bu geçici olarak silinen durum, bir esneklik mekanizması olarak özel bağlayıcıların yanlışlıkla silinmesi durumunda hızlı kurtarma sağlamak için mevcuttur.”
Microsoft, düzeltme ekinin 2 Ağustos’a kadar tamamlandığını söyledi.
Tenable CEO’su kızgın
Süreç, Microsoft’un şeffaf olmamasından ve konuya yavaş yanıt vermesinden şikayet eden Tenable’ın başkanı ve CEO’su Amit Yoran’dan öfkeli bir LinkedIn gönderisi getirdi.
Yoran gönderisinde, “Kısmi bir düzeltmeyi uygulamak 90 günden fazla sürdü – ve yalnızca hizmete yüklenen yeni uygulamalar için,” diye yazdı.
Yoran, gönderiyi yazdığı sırada, Ağustos ayında teslim edilen tam düzeltmenin Eylül ayına kadar sürmesini bekliyordu.
Yoran, “Bulut sağlayıcıları, paylaşılan sorumluluk modelini uzun süredir benimsiyor” dedi.
“Bulut satıcınız sorunları ortaya çıktıkça size bildirmez ve düzeltmeleri açık bir şekilde uygularsa, bu model geri alınamaz bir şekilde bozulur.”