Azure Key Vault’ta, Key Vault Katılımcısı rolüne sahip kullanıcıların, Microsoft’un belgelenen amaçlarının aksine hassas verilere erişmesine olanak tanıyan kritik bir güvenlik yapılandırması keşfedildi.
Datadog tarafından Microsoft Güvenlik Araştırma Merkezi’ne (MSRC) bildirilen bu bulgu, Azure’un bulut altyapısında önemli bir ayrıcalık yükseltme riskinin altını çiziyor.
Key Vault Katılımcısı rolüne atanan kullanıcılar, erişim denetim mekanizması olarak erişim ilkelerini kullanarak herhangi bir Key Vault içeriğini okumak ve değiştirmek için ayrıcalıklarını yükseltebilir.
Buna anahtarlara, sertifikalara ve sırlara erişim de dahildir; bu durum, Microsoft’un bu rolün “gizli sırlara, anahtarlara veya sertifikalara erişmenize izin vermediğini” belirten orijinal belgelerine aykırıdır.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
MSRC, “anahtar kasasına katkıda bulunanlar anahtar kasası erişim politikalarını yönetebildiğinden” bu yapılandırmanın “bir güvenlik açığı olmadığını” belirtti.
Buna yanıt olarak Microsoft, Key Vault Katılımcısı rol belgelerini güncelleyerek bu rolün “bir Key Vault erişim ilkesi ayarlayarak kendisine veri düzlemi erişimi verebileceğini” açıkladı.
Bu role veya Microsoft.KeyVault/vaults/write iznine sahip bir hesaba erişimi olan bir saldırgan, potansiyel olarak hedef anahtar kasasındaki tüm verileri okuyabilir. Bu genellikle aşağıdakiler gibi hassas bilgileri içerir:
- API anahtarları
- Şifreler
- Azure Depolama paylaşılan erişim imzaları (SAS)
- Kimlik doğrulama sertifikaları
Sorun, 25 Ekim 2024’te MSRC’ye bildirildi ve çeşitli inceleme ve belge güncellemelerinden geçti.
Microsoft, yapılandırmanın bir güvenlik açığı olmadığını belirterek davayı 11 Kasım 2024’te kapattı. Datadog bulgularını 16 Aralık 2024’te yayınladı.
Datadog raporuna göre güvenlik açığı, Azure RBAC izin modeli ile Key Vault erişim ilkesi arasındaki izin kapsamlarının çakışmasından kaynaklanıyor.
Gizli anahtarlara erişim olmadan anahtar kasalarını yönetmesi amaçlanan Key Vault Katılımcısı rolü, erişim politikalarını değiştirebilir ve kendisine Anahtar Kasası verilerine istenmeyen erişim izni verebilir.
Bu riski azaltmak için Microsoft, Rol Tabanlı Erişim Denetimi (RBAC) izin modelinin kullanılmasını önerir. Ayrıca kuruluşlar şunları yapmalıdır:
- Yetkisiz kullanıcıları erişim politikalarından kaldırın
- Etkilenen Key Vault öğelerini döndürün
- Ek güvenlik hususlarını gözden geçirin ve uygulayın
Bu keşif, bulut güvenlik yapılandırmalarındaki nüansları anlamanın önemini vurguluyor.
Microsoft belgelerini güncellerken olay, bulut ortamlarında sürekli dikkat ve düzenli güvenlik denetimlerinin gerekliliğini vurguluyor.