یک “نقص طراحی” کشف شده در Microsoft Azure می تواند توسط مهاجمان برای دسترسی به حساب های ذخیره سازی، حرکت جانبی در محیط و حتی اجرای کد از راه دور مورد سوء استفاده قرار گیرد.
Orca در گزارش جدیدی که با هکر نیوز به اشتراک گذاشته شده است، میگوید: «ممکن است از حسابهای ذخیرهسازی مایکروسافت با دستکاری توابع Azure برای سرقت توکنهای دسترسی هویتهای دارای امتیاز بالاتر، حرکت جانبی، دسترسی بالقوه به داراییهای حیاتی کسبوکار و اجرای کد راه دور (RCE) استفاده کرد.
مسیر بهره برداری که زیربنای این حمله است، مکانیزمی به نام مجوز مشترک کلید است که به طور پیش فرض در حساب های ذخیره سازی فعال است.
طبق گفته مایکروسافت، Azure هنگام ایجاد یک حساب ذخیره سازی، دو کلید دسترسی به حساب ذخیره سازی ۵۱۲ بیتی تولید می کند. از این کلیدها می توان برای مجوز دسترسی به داده ها از طریق مجوز Shared Key یا از طریق نشانه های SAS که با کلید مشترک امضا شده اند استفاده کرد.
مایکروسافت در مستندات خود خاطرنشان می کند: “کلیدهای دسترسی به حساب ذخیره سازی دسترسی کامل به پیکربندی یک حساب ذخیره سازی و همچنین داده ها را فراهم می کند.” “دسترسی به کلید مشترک به کاربر امکان دسترسی کامل به پیکربندی حساب ذخیره سازی و داده های آن را می دهد.”
این شرکت امنیت ابری گفت که این توکنهای دسترسی را میتوان با دستکاری توابع Azure به سرقت برد، و به طور بالقوه عامل تهدید با دسترسی به حسابی با نقش Storage Account Contributor را قادر میسازد تا امتیازات را افزایش دهد و سیستمها را در اختیار بگیرد.
به طور خاص، اگر از یک هویت مدیریت شده برای فراخوانی برنامه Function استفاده شود، ممکن است برای اجرای هر دستوری مورد سوء استفاده قرار گیرد. این به نوبه خود به دلیل ایجاد یک حساب ذخیره سازی اختصاصی هنگام استقرار یک برنامه Azure Function امکان پذیر است.
Roi Nisimi ، محقق Orca، گفت: «هنگامی که یک مهاجم حساب ذخیرهسازی یک برنامه Function را که با هویت مدیریت شده قوی اختصاص داده شده است، پیدا کند، میتواند کد را از طرف آن اجرا کند و در نتیجه یک افزایش امتیاز اشتراک (PE) به دست آورد.
به عبارت دیگر، با استخراج رمز دسترسی هویت مدیریت شده اختصاص داده شده اپلیکیشن Azure Function به یک سرور راه دور، یک عامل تهدید می تواند امتیازات را افزایش دهد، به صورت جانبی حرکت کند، به منابع جدید دسترسی پیدا کند و یک پوسته معکوس را روی ماشین های مجازی اجرا کند.
Nisimi توضیح داد: «با نادیده گرفتن فایلهای تابع در حسابهای ذخیرهسازی، یک مهاجم میتواند هویتی با امتیاز بالاتر را بدزدد و از آن برای حرکت جانبی، بهرهبرداری و به خطر انداختن ارزشمندترین جواهرات تاج قربانیان استفاده کند».
به عنوان اقدامات کاهشی، توصیه میشود که سازمانها مجوز Azure Shared Key را غیرفعال کنند و به جای آن از احراز هویت اکتیو دایرکتوری Azure استفاده کنند. مایکروسافت در یک افشای هماهنگ اعلام کرد که “در نظر دارد نحوه کار ابزارهای سرویس گیرنده Functions با حساب های ذخیره سازی را به روز کند.
“غول فناوری در ادامه افزود”این شامل تغییراتی برای سناریوهای پشتیبانی بهتر با استفاده از هویت می شود. پس از اینکه اتصالات مبتنی بر هویت برای AzureWebJobsStorage به طور کلی در دسترس قرار گرفت و تجربیات جدید تایید شدند، هویت به حالت پیش فرض برای AzureWebJobsStorage تبدیل می شود، که در نظر گرفته شده است تا از مجوز کلید مشترک دور شود.”
این یافتهها هفتهها پس از رفع مشکل پیکربندی نادرست مایکروسافت بر اکتیو دایرکتوری Azure که امکان دستکاری در نتایج جستجوی Bing و آسیبپذیری XSS منعکسشده در Azure Service Fabric Explorer (SFX) را فراهم کرد که میتواند منجر به اجرای کد از راه دور غیرقانونی شود، به دست آمد.