Microsoft Azure’da ortaya çıkarılan bir “tasarım gereği kusur”, saldırganlar tarafından depolama hesaplarına erişim elde etmek, ortamda yanal hareket etmek ve hatta uzaktan kod yürütmek için kullanılabilir.
Orca, paylaşılan yeni bir raporda, “Daha yüksek ayrıcalıklı kimliklerin erişim belirteçlerini çalmak, yatay olarak hareket etmek, potansiyel olarak kritik iş varlıklarına erişmek ve uzaktan kod (RCE) yürütmek için Azure İşlevlerini manipüle ederek Microsoft Depolama Hesaplarını kötüye kullanmak ve bunlardan yararlanmak mümkündür.” dedi. Hacker Haberleri ile.
Bu saldırının temelini oluşturan istismar yolu, depolama hesaplarında varsayılan olarak etkinleştirilen ve Paylaşılan Anahtar yetkilendirmesi adı verilen bir mekanizmadır.
Microsoft’a göre Azure, bir depolama hesabı oluştururken iki adet 512 bit depolama hesabı erişim anahtarı oluşturur. Bu anahtarlar, Paylaşılan Anahtar yetkilendirmesi yoluyla veya paylaşılan anahtarla imzalanan SAS belirteçleri aracılığıyla verilere erişim yetkisi vermek için kullanılabilir.
Microsoft, belgelerinde “Depolama hesabı erişim anahtarları, bir depolama hesabının yapılandırmasına ve verilere tam erişim sağlar” diyor. “Paylaşılan anahtara erişim, kullanıcıya bir depolama hesabının yapılandırmasına ve verilerine tam erişim sağlar.”
Bulut güvenlik firması, bu erişim belirteçlerinin Azure İşlevlerini manipüle ederek çalınabileceğini ve potansiyel olarak bir tehdit aktörünün, ayrıcalıkları yükseltmek ve sistemleri devralmak için Depolama Hesabı Katkıda Bulunan rolüne sahip bir hesaba erişimini etkinleştirebileceğini söyledi.
Özellikle, Function uygulamasını çağırmak için yönetilen bir kimlik kullanılması durumunda herhangi bir komutu yürütmek için kötüye kullanılabilir. Bu da, bir Azure İşlevi uygulaması dağıtılırken ayrılmış bir depolama hesabının oluşturulması sayesinde mümkün olur.
Orca araştırmacısı Roi Nisimi, “Bir saldırgan, güçlü bir yönetilen kimlikle atanmış bir Function uygulamasının depolama hesabını bulduğunda, onun adına kod çalıştırabilir ve sonuç olarak bir abonelik ayrıcalık yükseltmesi (PE) elde edebilir” dedi.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Diğer bir deyişle, bir tehdit aktörü, Azure İşlevi uygulamasının atanmış yönetilen kimliğinin erişim belirtecini uzak bir sunucuya sızdırarak ayrıcalıkları yükseltebilir, yanal olarak hareket edebilir, yeni kaynaklara erişebilir ve sanal makinelerde ters kabuk çalıştırabilir.
Nisimi, “Bir saldırgan, depolama hesaplarındaki işlev dosyalarını geçersiz kılarak, daha yüksek ayrıcalıklı bir kimliği çalıp sızdırabilir ve bunu yanal olarak hareket etmek, kurbanların en değerli taç mücevherlerini kullanmak ve tehlikeye atmak için kullanabilir.”
Azaltıcı önlemler olarak, kuruluşların Azure Paylaşılan Anahtar yetkilendirmesini devre dışı bırakmayı ve bunun yerine Azure Active Directory kimlik doğrulamasını kullanmayı düşünmeleri önerilir. Koordineli bir açıklamada Microsoft, “İşlevler istemci araçlarının depolama hesaplarıyla nasıl çalıştığını güncellemeyi planladığını” söyledi.
“Bu, kimlik kullanan daha iyi destek senaryolarındaki değişiklikleri içerir. AzureWebJobsStorage için kimlik tabanlı bağlantılar genel kullanıma sunulduktan ve yeni deneyimler doğrulandıktan sonra, kimlik, paylaşılan anahtar yetkilendirmesinden uzaklaşmayı amaçlayan AzureWebJobsStorage için varsayılan mod haline gelecektir.” teknoloji devi ekledi.
Bulgular, Microsoft’un, Azure Active Directory’yi etkileyen ve Bing arama sonuçlarını kurcalamayı mümkün kılan bir yanlış yapılandırma sorununu ve Azure Service Fabric Explorer’da (SFX) kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek yansıyan bir XSS güvenlik açığını düzeltmesinden haftalar sonra geldi.