آسیب‌پذیری جدید Microsoft Azure حساب‌های کاربری ذخیره‌سازی را در معرض هکرها قرار می‌دهد

یک “نقص طراحی” کشف شده در Microsoft Azure می تواند توسط مهاجمان برای دسترسی به حساب های ذخیره سازی، حرکت جانبی در محیط و حتی اجرای کد از راه دور مورد سوء استفاده قرار گیرد.

Orca در گزارش جدیدی که با هکر نیوز به اشتراک گذاشته شده است، می‌گوید: «ممکن است از حساب‌های ذخیره‌سازی مایکروسافت با دستکاری توابع Azure برای سرقت توکن‌های دسترسی هویت‌های دارای امتیاز بالاتر، حرکت جانبی، دسترسی بالقوه به دارایی‌های حیاتی کسب‌وکار و اجرای کد راه دور (RCE) استفاده کرد.

 

مسیر بهره برداری که زیربنای این حمله است، مکانیزمی به نام مجوز مشترک کلید است که به طور پیش فرض در حساب های ذخیره سازی فعال است.

طبق گفته مایکروسافت، Azure هنگام ایجاد یک حساب ذخیره سازی، دو کلید دسترسی به حساب ذخیره سازی ۵۱۲ بیتی تولید می کند. از این کلیدها می توان برای مجوز دسترسی به داده ها از طریق مجوز Shared Key یا از طریق نشانه های SAS که با کلید مشترک امضا شده اند استفاده کرد.

مایکروسافت در مستندات خود خاطرنشان می کند: “کلیدهای دسترسی به حساب ذخیره سازی دسترسی کامل به پیکربندی یک حساب ذخیره سازی و همچنین داده ها را فراهم می کند.” “دسترسی به کلید مشترک به کاربر امکان دسترسی کامل به پیکربندی حساب ذخیره سازی و داده های آن را می دهد.”

این شرکت امنیت ابری گفت که این توکن‌های دسترسی را می‌توان با دستکاری توابع Azure به سرقت برد، و به طور بالقوه عامل تهدید با دسترسی به حسابی با نقش Storage Account Contributor را قادر می‌سازد تا امتیازات را افزایش دهد و سیستم‌ها را در اختیار بگیرد.

به طور خاص، اگر از یک هویت مدیریت شده برای فراخوانی برنامه Function استفاده شود، ممکن است برای اجرای هر دستوری مورد سوء استفاده قرار گیرد. این به نوبه خود به دلیل ایجاد یک حساب ذخیره سازی اختصاصی هنگام استقرار یک برنامه Azure Function امکان پذیر است.

Roi Nisimi ، محقق Orca، گفت: «هنگامی که یک مهاجم حساب ذخیره‌سازی یک برنامه Function را که با هویت مدیریت شده قوی اختصاص داده شده است، پیدا کند، می‌تواند کد را از طرف آن اجرا کند و در نتیجه یک افزایش امتیاز اشتراک (PE) به دست آورد.

به عبارت دیگر، با استخراج رمز دسترسی هویت مدیریت شده اختصاص داده شده اپلیکیشن Azure Function به یک سرور راه دور، یک عامل تهدید می تواند امتیازات را افزایش دهد، به صورت جانبی حرکت کند، به منابع جدید دسترسی پیدا کند و یک پوسته معکوس را روی ماشین های مجازی اجرا کند.

Nisimi توضیح داد: «با نادیده گرفتن فایل‌های تابع در حساب‌های ذخیره‌سازی، یک مهاجم می‌تواند هویتی با امتیاز بالاتر را بدزدد و از آن برای حرکت جانبی، بهره‌برداری و به خطر انداختن ارزشمندترین جواهرات تاج قربانیان استفاده کند».

به عنوان اقدامات کاهشی، توصیه می‌شود که سازمان‌ها مجوز Azure Shared Key را غیرفعال کنند و به جای آن از احراز هویت اکتیو دایرکتوری Azure استفاده کنند. مایکروسافت در یک افشای هماهنگ اعلام کرد که “در نظر دارد نحوه کار ابزارهای سرویس گیرنده Functions با حساب های ذخیره سازی را به روز کند.

“غول فناوری در ادامه افزود”این شامل تغییراتی برای سناریوهای پشتیبانی بهتر با استفاده از هویت می شود. پس از اینکه اتصالات مبتنی بر هویت برای AzureWebJobsStorage به طور کلی در دسترس قرار گرفت و تجربیات جدید تایید شدند، هویت به حالت پیش فرض برای AzureWebJobsStorage تبدیل می شود، که در نظر گرفته شده است تا از مجوز کلید مشترک دور شود.”

این یافته‌ها هفته‌ها پس از رفع مشکل پیکربندی نادرست مایکروسافت بر اکتیو دایرکتوری Azure که امکان دستکاری در نتایج جستجوی Bing و آسیب‌پذیری XSS منعکس‌شده در Azure Service Fabric Explorer (SFX) را فراهم کرد که می‌تواند منجر به اجرای کد از راه دور غیرقانونی شود، به دست آمد.

پست‌های مشابه

Leave a Comment