Aşırı izin veren bir dosya paylaşım bağlantısı, özel Microsoft verilerini içeren 38 TB’lık devasa bir depolama paketine genel erişime izin vererek parolalar, Teams mesajları ve iki çalışanın iş istasyonundaki dosyalar dahil olmak üzere çeşitli geliştirme sırlarının saldırganların erişimine açık olmasını sağladı.
Bulut veri güvenliği firması Wiz, olayla ilgili bir tavsiye yayınladı; bunun, bir bağlantıya sahip kullanıcıların özel bir veri deposuna erişmesine olanak tanıyan, Paylaşılan Erişim İmzası (SAS) belirteci olarak bilinen bir Microsoft Azure özelliğinin kullanımından kaynaklandığını söyledi. Risk altındaki belirli depo, Microsoft’un yapay zeka araştırma bölümüne aitti ve bu bölüm, genel GitHub deposunda, kullanıcıları SAS bağlantısı aracılığıyla Azure Depolama grubundan açık kaynaklı görselleri ve kodları indirmeye yönlendiriyordu.
Ancak bağlantı yanlış yapılandırıldı ve özel depolama örneğinin tamamına erişime izin verildi, bu da hassas dosyaların ve verilerin herkese açık hale gelmesine neden oldu.
Bulut veri güvenliği firması Wiz’in kurucu ortağı ve baş teknoloji sorumlusu Ami Luttwak, olayın, SAS bağlantılarını kullanırken güvenlikle ilgili yanlış adımlar atılma potansiyelinin altını çizdiğini söylüyor.
“Yapay zeka araştırmacısı sadece bir veritabanını paylaşmak istedi, bu sorun değil, ancak bir şeyi paylaşmak istedikleri kullanıcılarımın yanlışlıkla tüm depolama hesabımızı paylaşıp paylaşmadıklarını nasıl bileceğim” diyor. “Sadece okuma izni değil, yazma izni bile verdiler, bu da uzaktan yürütmeye bile yol açabilirdi.”
Son beş yılda büyük bulut sağlayıcılarının sunduğu depolama hizmetleri hem araştırmacıların hem de saldırganların önemli bir hedefi haline geldi. 2020 yılında, yanlış yapılandırılmış bir Amazon Web Services S3 klasörü nedeniyle bir finansal uygulamayla ilgili yarım milyon belge açığa çıktı. 2017’de iki AWS S3 klasörü, binlerce ABD gazisi ve milyonlarca Time-Warner kablo abonesine ilişkin hassas verileri açığa çıkardı. Microsoft Azure da bu durumdan muaf değil: Bir güvenlik firması geçen yıl potansiyel müşteri verilerinin, yanlış yapılandırılmış bir bulut depolama uç noktası nedeniyle ele geçirilmiş olabileceğini keşfetti.
En son olayda Microsoft, Wiz tavsiyesinin ayrıntılarını doğruladı ve şirketin koordineli güvenlik açığı açıklama süreci aracılığıyla Microsoft ile iletişime geçtiğini belirtti.
Microsoft Güvenlik Yanıt Merkezi (MSRC) bir danışma belgesinde, “Bu depolama hesabında açığa çıkan veriler, iki eski çalışanın iş istasyonu profillerinin yedeklerini ve bu iki çalışanın meslektaşlarıyla olan dahili Microsoft Teams mesajlarını içeriyordu.” dedi. “Hiçbir müşteri verisi ifşa edilmedi ve bu sorun nedeniyle başka hiçbir dahili hizmet riske atılmadı. Bu soruna yanıt olarak müşterinin herhangi bir eylem yapması gerekmiyor.”
Gizli Olarak Paylaşılan Erişim
Azure’un SAS özelliği, kullanıcıların depolama hesaplarındaki belirli dosyalara ve kaynaklara özel erişim vermesine olanak tanır. Kullanıcı, erişilebilecek kaynaklar, bağlantının izin verdiği izinler ve SAS belirtecinin ne kadar süre geçerli olacağı üzerinde ayrıntılı kontrole sahiptir. Kullanıcı yetkisi, hizmet ve hesap SAS belirteçleri dahil olmak üzere üç farklı türde Paylaşılan Erişim İmzası vardır.
Ancak Wiz’den Luttwak, kaynaklara erişime izin veren çalışanların kolaylıkla izlenemeyeceğini söylüyor.
“Azure’de hangi izinlerin verildiğini izlemenin bir yolu yok çünkü Azure, oluşturulan tüm tokenlar hakkında bilgi sahibi değil” diyor. “Bu, güvenlik ekiplerinin aslında bu tokenleri izleme veya bunlar üzerinde herhangi bir yönetim yapma imkanının olmadığı anlamına geliyor. Ve bu korkutucu.”
Azure bağlantı yoluyla paylaş mekanizmasının tehlikeleri konusunda uyarıda bulunan tek şirket Wiz değil. Jumpsec Labs saldırı güvenliği başkanı Tom Ellson, geçen yıl yayınlanan bir danışma belgesinde, güvenlik değerlendirmelerinde, belirli bir müşterinin Amazon S3 depolama paketlerinin güvenliğini sağlama konusunda bir sorunu olmasa bile, Azure Depolama Hesaplarının sıklıkla güvensiz olduğunu tespit ettiğini belirtti.
“Azure Depolama Hesapları, Amazon S3 klasörlerinin Microsoft eşdeğeridir ve aynı zorlukların çoğuna karşı hassastır” dedi. “Yani, diğer bulut hizmetlerinde olduğu gibi, genellikle onları etkili bir şekilde yapılandırmak için gereken güvenlik bilgisine sahip olmayan ekipler tarafından dağıtılıyorlar ve varsayılan dağıtımlar, doğrudan bulut hizmetleri tarafından açıkça etkinleştirilmedikçe ortamları için gerekli düzeyde kontrollerden genellikle yoksun olacak. BT ekibi.”
Sadece hayır de?
SAS belirteçlerinin kurulumunda o kadar çok tuzak var ki Wiz’den Luttwak, özel bir bulut depolama hesabından dosya paylaşma mekanizmasının asla kullanılmamasını tavsiye ediyor. Bunun yerine şirketlerin, kaynakların paylaşıldığı halka açık bir hesaba sahip olması gerektiğini söylüyor.
Luttwak, “Bu mekanizma o kadar riskli ki bizim tavsiyemiz, her şeyden önce, depolama hesabınızda genel verileri asla paylaşmamanız, yalnızca genel paylaşım için tamamen ayrı bir depolama hesabı oluşturmanızdır” diyor. “Bu, yanlış yapılandırma riskini büyük ölçüde azaltacaktır. Genel verileri paylaşmak, harici bir genel veri depolama hesabı oluşturmak ve yalnızca bunu kullanmak istiyorsunuz.”
SAS URL’lerini kullanarak özel depolama alanındaki belirli dosyaları paylaşmak isteyen şirketler için Microsoft, GitHub’ın kimlik bilgilerinin ve sırların açığa çıkmasını izlemesinin bir parçası olarak bu özelliği ekledi. Şirketin danışma belgesinde belirttiği üzere, şirket tüm depoları yeniden taradı.
Microsoft, Azure kullanıcılarının kendilerini kısa ömürlü SAS belirteçleriyle sınırlamasını, en az ayrıcalık ilkesini uygulamasını ve bir iptal planına sahip olmasını önerir.
Microsoft, danışma belgesinde “Herhangi bir sır gibi, SAS tokenlerinin de uygun şekilde oluşturulması ve işlenmesi gerekiyor” dedi. “Her zaman olduğu gibi, istenmeyen erişim veya kötüye kullanım riskini en aza indirmek için müşterilerimizi SAS tokenlarını kullanırken en iyi uygulamalarımızı takip etmeye şiddetle teşvik ediyoruz.”