Ngày 11 tháng 4 năm 2023Ravie LakshmananBảo mật đám mây / bảo mật dữ liệu
Một “lỗ hổng do thiết kế” được phát hiện trong Microsoft Azure có thể bị kẻ tấn công khai thác để giành quyền truy cập vào tài khoản lưu trữ, di chuyển ngang trong môi trường và thậm chí thực thi mã từ xa.
“Có thể lạm dụng và tận dụng Tài khoản lưu trữ của Microsoft bằng cách thao túng Chức năng Azure để đánh cắp mã thông báo truy cập có đặc quyền cao hơn, di chuyển ngang, có khả năng truy cập tài sản kinh doanh quan trọng và thực thi mã từ xa (RCE)”, Orca cho biết trong một báo cáo mới được chia sẻ với Bản tin Hacker.
Đường dẫn khai thác làm nền tảng cho cuộc tấn công này là một cơ chế có tên là ủy quyền Khóa chia sẻ, được bật theo mặc định trên các tài khoản lưu trữ.
Theo Microsoft, Azure tạo hai khóa truy cập tài khoản lưu trữ 512 bit khi tạo tài khoản lưu trữ. Các khóa này có thể được sử dụng để cấp quyền truy cập vào dữ liệu thông qua ủy quyền Khóa dùng chung hoặc thông qua mã thông báo SAS được ký bằng khóa dùng chung.
“Khóa truy cập tài khoản lưu trữ cung cấp quyền truy cập đầy đủ vào cấu hình của tài khoản lưu trữ cũng như dữ liệu”, Microsoft lưu ý trong tài liệu của mình. “Quyền truy cập vào khóa được chia sẻ cấp cho người dùng toàn quyền truy cập vào cấu hình và dữ liệu của tài khoản lưu trữ.”
Công ty bảo mật đám mây cho biết các mã thông báo truy cập này có thể bị đánh cắp bằng cách thao túng Chức năng Azure, có khả năng cho phép tác nhân đe dọa có quyền truy cập vào tài khoản có vai trò Người đóng góp tài khoản lưu trữ để leo thang đặc quyền và chiếm lấy hệ thống.
Cụ thể, nếu một danh tính được quản lý được sử dụng để gọi ứng dụng Chức năng, nó có thể bị lạm dụng để thực thi bất kỳ lệnh nào. Đến lượt mình, điều này có thể thực hiện được do tài khoản lưu trữ chuyên dụng được tạo khi triển khai ứng dụng Chức năng Azure.
Roi Nisimi, nhà nghiên cứu của Orca cho biết: “Khi kẻ tấn công xác định được tài khoản lưu trữ của ứng dụng Chức năng được gán với danh tính được quản lý mạnh, kẻ tấn công có thể thay mặt ứng dụng đó chạy mã và kết quả là có được leo thang đặc quyền đăng ký (PE)”.
Nói cách khác, bằng cách trích xuất mã thông báo truy cập của danh tính được quản lý đã chỉ định của ứng dụng Chức năng Azure cho một máy chủ từ xa, tác nhân đe dọa có thể nâng cao đặc quyền, di chuyển ngang, truy cập tài nguyên mới và thực thi trình bao đảo ngược trên máy ảo.
Nisimi giải thích: “Bằng cách ghi đè các tệp chức năng trong tài khoản lưu trữ, kẻ tấn công có thể đánh cắp và lấy cắp danh tính có đặc quyền cao hơn và sử dụng nó để di chuyển ngang, khai thác và xâm phạm những viên ngọc quý giá nhất của nạn nhân”.
Để giảm thiểu, các tổ chức nên xem xét việc tắt ủy quyền Khóa dùng chung Azure và thay vào đó sử dụng xác thực Azure Active Directory. Trong một tiết lộ phối hợp, Microsoft cho biết họ “có kế hoạch cập nhật cách các công cụ máy khách của Chức năng hoạt động với các tài khoản lưu trữ.”
“Điều này bao gồm các thay đổi đối với các kịch bản hỗ trợ tốt hơn bằng cách sử dụng danh tính. Sau khi các kết nối dựa trên danh tính cho AzureWebJobsStorage thường khả dụng và trải nghiệm mới được xác thực, danh tính sẽ trở thành chế độ mặc định cho AzureWebJobsStorage, chế độ này nhằm loại bỏ ủy quyền khóa dùng chung,” gã khổng lồ công nghệ nói thêm.
Các phát hiện được đưa ra vài tuần sau khi Microsoft vá một sự cố cấu hình sai ảnh hưởng đến Azure Active Directory khiến nó có thể giả mạo kết quả tìm kiếm Bing và lỗ hổng XSS được phản ánh trong Azure Service Fabric Explorer (SFX) có thể dẫn đến thực thi mã từ xa không được xác thực.
