Popüler bir Azure hizmetinde yanlış yapılandırmalar ve zayıf güvenlik protokolleri gibi güvenlik açıklarından yararlanmak için bir dizi yöntemin kullanılması, güvenlik risklerini net bir şekilde görmemenin nasıl daha büyük güvenlik açıklarına yol açabileceğini göstererek bulut güvenlik görünürlüğü sorununa dikkat çekiyor. bulut platformlarında.
Ermetic’in araştırma ekibi, Azure bulut hizmetlerinde ve diğer bulut egemenlerinde aşağıdaki durumlarda uzaktan kod yürütülmesine izin veren bir EmojiDeploy güvenlik açığı buldu: –
- İşlev Uygulamaları
- Uygulama Hizmeti
- Mantık Uygulamaları
EmojiDeploy güvenlik açığı, yaygın olarak kullanılan SCM hizmeti Kudu’da CSRF kullanılarak kullanılabilir. Saldırganların, kurbanlarının Azure uygulamalarına kötü amaçlı yükler içeren zararlı zip dosyalarını dağıtmak için bu güvenlik açığından yararlanabileceği tespit edildi.
EmojiDeploy’un Yetenekleri güvenlik açığı
Tehdit aktörleri, EmojiDeploy’u kullanarak uzaktan kod yürütebilir ve bir uygulamanın kontrolünü uzaktan ele geçirebilir:-
- Kod ve komutları www kullanıcısı olarak çalıştırma
- Hassas verilerin çalınması veya silinmesi
- Kimlik avı kampanyaları
- Uygulamanın yönetilen kimliğinin devralınması ve diğer Azure hizmetlerine yatay geçiş
Bu güvenlik açığından yararlanılması, uzaktan kod yürütülmesine ve hedef uygulamanın tam denetimine olanak tanır. Kimlikleri yöneten uygulamaların izinlerine bağlı olarak, güvenlik açığının etkisi bir bütün olarak kuruluşa göre değişiklik gösterecektir.
Patlama yarıçapını azaltmak için, en az ayrıcalık ilkesini uygulamak çok önemlidir.
Zaman çizelgesi
Aşağıda tam açıklama zaman çizelgesinden bahsetmiştik:-
- 26 Ekim 2022 – Ermetic araştırma ekibi, güvenlik açığını MSRC’ye bildirdi
- 2 Kasım 2022 – MSRC ilk müdahalesi, inceleniyor
- 3 Kasım 2022 – Microsoft ödül programı 30.000$ ödül veriyor
- 6 Aralık 2022 – Microsoft küresel bir düzeltme yayınladı
- 19 Ocak 2023 – Ermetic’in kamuya açıklanması
EmojiDeploy Güvenlik Açığı’ndan Yararlanma
Saldırganların güvenlik açığından yararlanmak için aşağıdakilerden yararlanması gerekir:-
- Aynı site yanlış yapılandırması
- Kaynak kontrolünü atla
- Ardından savunmasız bir uç noktayı hedefleyin
Nihayetinde tüm bu prosedür, saldırganı uzaktan kod yürütmeye yönlendirecektir. EmojiDeploy saldırısı bir tarayıcı aracılığıyla başlatılabilir, ancak saldırganın güvenlik açığından yararlanabilmesi için tarayıcısında SCM veya Microsoft hesap tanımlama bilgileri olması gerekir.
Ermetic’in tespit ettiği gibi, bir saldırı güvenlik açığından yararlanmak için Kaynak Kod Yöneticisi (SCM) için güvenli olmayan bir tanımlama bilgisi yapılandırmasından yararlanıyordu. Lax olma Azure hizmeti tarafından varsayılan olarak ayarlanan iki denetim vardır: –
Öneri
MSRC, EmojiDeploy sorununu başarıyla çözdü ancak gelecekte buna benzer güvenlik açıklarına ve SCM yeteneklerinin kötüye kullanılmasına karşı korunmak için önleyici tedbirler alınması önerilir.
Microsoft Güvenlik Yanıt Merkezi (MSRC), kapsamlı bir araştırma yürütürken güvenlik açığını gidermek için hızlı bir şekilde harekete geçti. MSRC’deki ekip, sorunu mümkün olan en kısa sürede çözmek için özenle çalıştı.
Kullanıcılarının güvenliğini ve sistemin bütünlüğünü sağlamak için zamanında bir çözümün önemini anladılar. MSRC ekibi, temel nedeni belirlemek için derin bir araştırma yürüttü ve yalnızca güvenlik açığını gidermekle kalmayan, aynı zamanda gelecekte tekrar oluşmasını da önleyen bir çözüm buldu.
Microsoft, EmojiDeploy’u bir Uzaktan Kod Yürütme (RCE) güvenlik açığı olarak kabul etti ve keşfi önemli bir ödülle onayladı.
Microsoft, güvenlik açıklarını sorumlu bir şekilde ifşa eden güvenlik araştırmacılarını ödüllendiren bir programa sahiptir ve EmojiDeploy, mümkün olan en kısa sürede ele alınması gereken ciddi bir güvenlik açığı olarak kabul edilmiştir.
Şirket, bu güvenlik açığını bildiren Ermetic araştırma ekibine 30.000 $ ödül verdi. Bu ödül, bulgunun öneminin ve araştırmacının platformu herkes için daha güvenli hale getirmeye katkısının değerinin bir kanıtıdır.
Bu tür bir program, araştırmacıları güvenlik açıklarını belirlemeye ve bildirmeye teşvik eder ve bu da Microsoft’un ürün ve hizmetlerini müşteriler için daha güvenli hale getirmeye yardımcı olur.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin