Kritische Schwachstelle in Microsoft Azure
Microsoft Azure-Schwachstelle betrifft mehr als zehn Azure-Services und wird nicht gepatcht
Schwachstelle ermöglicht es einem Angreifer, serverseitig gefälschte Anfragen zu kontrollieren und vertrauenswürdige Azure-Services zu imitieren
Das Cloud Research Team von Tenable hat eine kritische Schwachstelle in Azure entdeckt, die mehr als zehn Azure Services betrifft – darunter Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure API Management und Azure Logic Apps. Microsoft wird keinen Patch für diese Schwachstelle veröffentlichen. Stattdessen hat das Unternehmen eine zentrale Dokumentation zusammengestellt, um Kunden über die Verwendung von Service Tags zu informieren.
Die Schwachstelle ermöglicht es einem Angreifer, auf Azure Service Tags basierende Firewall-Regeln zu umgehen, indem er Requests von vertrauenswürdigen Services fälscht. Ein Bedrohungsakteur könnte von der User-Firewall akzeptierte Service Tags missbrauchen, wenn keine zusätzlichen Validierungsmechanismen vorhanden sind. Durch Ausnutzung dieser Schwachstelle könnte sich ein Angreifer Zugriff auf den Azure Service eines Unternehmens und andere interne und private Azure Services verschaffen.
"Diese Schwachstelle ermöglicht es einem Angreifer, serverseitig gefälschte Anfragen zu kontrollieren und vertrauenswürdige Azure Services zu imitieren", erklärt Liv Matan, Senior Research Engineer bei Tenable. "Wir empfehlen unseren Kunden dringend, sofort zu handeln. Starke Netzwerkauthentifizierung bietet Usern eine zusätzliche und entscheidende Sicherheitsebene."
Azure Kunden, deren Firewall-Regeln auf Azure Service Tags basieren, sind durch diese Schwachstelle gefährdet und sollten umgehend Maßnahmen ergreifen, um das Problem zu beheben und sicherzustellen, dass sie durch starke Authentifizierung und Autorisierung geschützt sind.
Weitere Informationen, einschließlich der technischen Erkenntnisse und des Proof of Concept des Teams, finden sich im Tenable Blog und im Technical Advisory. (Tenable: ra)
eingetragen: 16.06.24
Newsletterlauf: 14.08.24
Tenable: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.