Firma Microsoft zapłaciła firmie Tenable nagrodę za błąd platformy Azure, który według niej nie wymaga naprawy, a jedynie lepszej dokumentacji • Rejestr

Luka w zabezpieczeniach — lub po prostu Azure działająca zgodnie z oczekiwaniami, w zależności od tego, kogo spytasz — w chmurze Microsoftu może potencjalnie pozwolić przestępcom na ominięcie reguł zapory sieciowej i uzyskanie dostępu do zasobów internetowych innych osób.

Problem wykryty przez zespół badawczy z grupy Tenable Vulnerability Assessment Group wynika z tagów usług, architektury platformy Azure.

Tagi te mogą służyć do grupowania adresów IP używanych przez usługi platformy Azure, dzięki czemu teoretycznie łatwiej jest kontrolować dostęp sieciowy do i z tych zasobów. Na przykład, jeśli chcesz, aby określona usługa platformy Azure wchodziła w interakcję z aplikacją internetową, możesz użyć tagu usługi, aby zezwolić tylko na połączenia tej konkretnej usługi przez zaporę z aplikacją.

Firma Microsoft sugeruje, że gdy użytkownicy platformy Azure tworzą tego typu zasady zabezpieczeń, stosują je do tagów usług, a nie do poszczególnych adresów IP platformy Azure.

Tenable uważa, że ​​te tagi mogą zostać niewłaściwie wykorzystane przez nieuczciwego klienta platformy Azure w celu uzyskania dostępu do artefaktów innych klientów – co stanowi atak między dzierżawcami – jeśli ofiary te polegają na tagach usług w regułach zapory. Firma Microsoft nie naprawi jednak tego problemu, ponieważ firma Redmond nie klasyfikuje go jako luki w zabezpieczeniach. Zamiast tego Microsoft uważa, że ​​stanowi to nieporozumienie dotyczące sposobu podejmowania decyzji o „używaniu znaków usługowych i ich zamierzonym celu”.

Jednak po tym, jak Tenable ujawniło problem w styczniu, Microsoft potwierdził, że był to „błąd uprzywilejowany” o poziomie ważności „krytycznym” i wypłacił firmie Tenable nagrodę za błąd.

Miesiąc później, według Tenable, Microsoft opracował „kompleksową poprawkę” i harmonogram wdrożenia, ale później zdecydował się rozwiązać ten problem jedynie poprzez „kompleksową aktualizację dokumentacji”. Gigant Windows zdaje się wierzyć, że słabe punkty w znacznikach usług można najlepiej rozwiązać za pomocą wbudowanych warstw zabezpieczeń.

„Doceniamy współpracę z firmą Tenable w celu odpowiedzialnego ujawniania zagrożeń związanych ze stosowaniem znaczników usług jako pojedynczego mechanizmu badania bezpiecznego ruchu sieciowego” – powiedział rzecznik firmy Microsoft. Nagrywać.

„Zachęcamy klientów do stosowania wielowarstwowego podejścia do zabezpieczeń, jeśli chodzi o sprawdzanie swoich środków bezpieczeństwa w celu uwierzytelniania tylko zaufanego ruchu sieciowego w celu obsługi tokenów” – dodał rzecznik.

„Zdecydowanie zalecamy, aby klienci proaktywnie sprawdzali sposób korzystania ze znaków usługowych zgodnie z naszymi Warunkami Bloga„.

Dlatego zamiast łatki firma Microsoft opublikowała „ulepszone wskazówki” dotyczące tagów usług platformy Azure w języku angielskim Jego dokumenty.

Z punktu widzenia bezpieczeństwa zajęcie się lukami w zabezpieczeniach – niezależnie od tego, czy są to luki komunikacyjne, czy technologiczne – ma kluczowe znaczenie dla zapewnienia bezpieczeństwa użytkowników.

„Dalsze badanie raportu Tenable wykazało, że znaczniki usług działają zgodnie z założeniami i że najlepsze praktyki powinny być jasno przedstawione w dokumentacji serwisowej, o czym pisaliśmy w dalszej korespondencji z Tenable” – argumentował producent systemu Windows.

W tym poście na blogu Microsoft zauważa, że ​​„według naszych własnych dochodzeń nie zgłoszono ani nie zaobserwowano żadnego wykorzystania lub nadużywania znaków usługowych przez osoby trzecie w praktyce”.

Tymczasem można się obronić opublikowany Techniczny opis problemu wraz ze scenariuszem sprawdzającym koncepcję, którego można użyć do wykorzystania tego problemu za pomocą Azure App Services.

Powiedziano nam, że oprócz usługi chmurowej Microsoftu luka dotyczy co najmniej 10 innych usług Azure. Obejmuje to analizę aplikacji platformy, DevOps, uczenie maszynowe, aplikacje logiczne, rejestr kontenerów, testowanie obciążenia, zarządzanie API, fabrykę danych, grupę roboczą, indeks wideo AI i studio Chaos.

Nie jest to pierwszy ani nawet drugi raz, kiedy oba sklepy ochroniarskie spierają się na temat zwyczajów Redmond dotyczących ujawniania błędów lub szerszych praktyk w zakresie bezpieczeństwa informacji.

Liv Matan, starszy inżynier ds. badań, odmówiła komentarza w sprawie decyzji Microsoftu o niepublikowaniu łatki lub nazwaniu jej luką w tym przypadku. Powiedział, że nieważne jak to opisać, trzeba się tym zająć, aby zapewnić bezpieczeństwo użytkownikom.

„Wielu klientów korzysta z tagów usług platformy Azure, aby osiągnąć izolację sieci” – powiedział Mattan. Nagrywać. „Nasze nowe odkrycie ujawniło, w jaki sposób osoby atakujące mogą przełamać tę izolację i uzyskać dostęp do zasobów klientów wewnętrznych. Z punktu widzenia bezpieczeństwa zajęcie się lukami w zabezpieczeniach – niezależnie od tego, czy są to luki komunikacyjne, czy technologiczne – ma kluczowe znaczenie dla zapewnienia bezpieczeństwa użytkowników”.

Aby zapoznać się ze szczegółami dotyczącymi luki w zabezpieczeniach, zapoznaj się z poradą, którą można obronić. W skrócie sprowadza się to do tego, że użytkownicy mogą wysyłać konfigurowalne żądania HTTP do aplikacji internetowych za pośrednictwem różnych usług Azure, a aplikacje te ufają żądaniom, ponieważ pochodzą z usługi objętej znacznikiem usługi.

Dlatego wierzymy, że użytkownik Azure może przejąć kontrolę nad żądaniami HTTP wysyłanymi przez usługę Azure do innego klienta, a jeśli ten inny klient ślepo zaufa żądaniu – ponieważ pochodzi z usługi objętej tagiem usługi – dociera do aplikację ofiary, umożliwiając fałszywemu użytkownikowi (na przykład) zdalne kontrolowanie lub monitorowanie tej aplikacji.

„Kiedy usługa daje użytkownikom możliwość kontrolowania żądań po stronie serwera i jest powiązana ze znacznikami usługi Azure, sytuacja może stać się ryzykowna, jeśli klient nie ma dodatkowych warstw ochrony” – ostrzegł Tenable.

Aby zapobiec tego typu nadużyciom, Microsoft zaleca dodanie kontroli uwierzytelniania i autoryzacji, a nie poleganie wyłącznie na regułach zapory.

Na przykład klienci korzystający z testów dostępności Azure Monitoring, które pozwalają im monitorować czas pracy swoich zasobów, wykonają następujące czynności:

Zdaniem obu dostawców najważniejsze jest wdrożenie wielu warstw zabezpieczeń w celu ochrony cennych zasobów i danych. ®