Microsoft hat gepatchte Schwachstellen in vier verschiedenen Azure-Cloud-Dienste. Die Sicherheitslücken könnten es Angreifern ermöglichen, einen Server-Side Request Forgery (SSRF)-Angriff durchzuführen, um sich Unbefugte zu sichern Zugriff auf Cloud-Ressourcen.
Die Sicherheitslücken wurden erstmals zwischen Mitte Oktober und Mitte Dezember letzten Jahres von Forschern von Orca Security entdeckt. Die Schwachstellen betreffen verschiedene Microsoft-Cloud-Dienste wie Azure Functions, Azure API Management, Azure Digital Twins und Azure Machine Learning.
Microsoft führte bereits 2020 neue Sicherheitsfunktionen ein, um SSRF-Angriffe zu blockieren. Die Forscher nutzten jedoch die Schwachstellen in Azure Functions und Azure Digital Twins aus, um unbefugten Zugriff auf vertrauliche Informationen zu erhalten.
Ein Server-Side Request Forgery (SSRF)-Angriff ermöglicht es einem Angreifer, böswillige Anfragen an ein anderes System über a anfälliger Webserver. Damit kann ein Angreifer eine Webanwendung anvisieren, um interne Ressourcen zu lesen oder zu aktualisieren und vertrauliche Daten an externe Quellen zu senden. Dieser Angriff könnte schädlich sein, da er Zugriff auf den Cloud Instance Metadata Service (IMDS) des Hosts in Cloud-Umgebungen bietet.
„Die entdeckten Azure SSRF-Schwachstellen ermöglichten es einem Angreifer, lokale Ports zu scannen, neue Dienste zu finden, Endpunkte und Dateien – liefern wertvolle Informationen über möglicherweise anfällige Server und Dienste, die für den ersten Zugriff ausgenutzt werden können, und den Ort potenzieller Zielinformationen“, erklärte Orca-Forscherin Lidor Ben Shitrit.
Schutz-und Minderungsstrategien zur Blockierung der SSRF Angriffe
Glücklicherweise konnten die Forscher die SSRF-Schwachstellen in Azure nicht ausnutzen, um IMDS-Endpunkte zu erreichen. Dies liegt daran, dass Microsoft bereits über die erforderlichen Gegenmaßnahmen verfügt, um die potenziellen Auswirkungen von SSRF-Angriffen in Cloud-Umgebungen zu reduzieren. Dazu gehören Digital Twins, die bestimmte URL-Präfixe verwenden und einen Identity Header für App Service und Azure Functions erfordern.
Orca Security hat die Sicherheitslücken im Oktober 2022 proaktiv an Microsoft gemeldet. Das Unternehmen hat schnell Sicherheitsupdates veröffentlicht, um sie zu patchen individuell innerhalb weniger Wochen.
Die Forscher haben keine Beweise dafür gefunden, dass die Schwachstellen in freier Wildbahn aktiv ausgenutzt wurden. IT-Administratoren wird jedoch empfohlen, alle Eingaben zu validieren, sicherzustellen, dass die Server so konfiguriert sind, dass sie nur ein-und ausgehenden Datenverkehr zulassen, und das Prinzip der geringsten Rechte (PoLP) befolgen.