Es wurden Details über eine inzwischen behobene kritische Sicherheitslücke in Microsofts Azure Automation Service bekannt, die es Unbefugten ermöglicht hätte, auf andere Azure-Kundenkonten zuzugreifen und die Kontrolle zu übernehmen.
„Dieser Angriff könnte die volle Kontrolle über die Ressourcen und Daten des anvisierten Kontos bedeuten, je nach den vom Kunden zugewiesenen Berechtigungen“, so Orca Security-Forscher Yanir Tsarimi in einem am Montag veröffentlichten Bericht.
Die Schwachstelle gefährdet potenziell mehrere Unternehmen, darunter ein ungenanntes Telekommunikationsunternehmen, zwei Automobilhersteller, ein Bankenkonglomerat und die vier großen Wirtschaftsprüfungsgesellschaften, fügte das israelische Unternehmen für Cloud-Infrastruktur-Sicherheit hinzu.
Der Azure Automation Service ermöglicht die Prozessautomatisierung, das Konfigurationsmanagement und die Durchführung von Betriebssystem-Updates innerhalb eines bestimmten Wartungsfensters in Azure- und Nicht-Azure-Umgebungen.
Das „AutoWarp“ genannte Problem betrifft alle Nutzer des Azure Automation Service, die die Funktion „Managed Identity“ aktiviert haben. Diese Funktion ist standardmäßig aktiviert. Nachdem das Problem am 6. Dezember 2021 bekannt wurde, wurde es mit einem Patch am 10. Dezember 2021 behoben.
„Azure Automation-Konten, die Managed Identities-Tokens für die Autorisierung und eine Azure Sandbox für die Ausführung von Jobs nutzten, waren gefährdet“, so das Microsoft Security Response Center (MSRC) in einer Erklärung. „Microsoft hat keine Hinweise auf einen Missbrauch der Token gefunden.
Obwohl die Automatisierungsjobs durch eine Sandbox isoliert werden sollen, um den Zugriff durch anderen Code zu verhindern, der auf derselben virtuellen Maschine ausgeführt wird, ermöglichte die Schwachstelle einem bösartigen Akteur, der einen Job in einer Azure Sandbox ausführt, die Authentifizierungstoken anderer Automatisierungsjobs zu erhalten.
„Jemand mit böswilligen Absichten hätte kontinuierlich Token erbeuten und mit jedem Token den Angriff auf weitere Azure-Kunden ausweiten können“, so Tsarimi.
Die Enthüllung erfolgte fast zwei Monate, nachdem Amazon Web Services (AWS) zwei Schwachstellen – Superglue und BreakingFormation – in den AWS Glue- und CloudFormation-Diensten behoben hatte, die missbraucht werden konnten, um auf die Daten anderer AWS Glue-Kunden zuzugreifen und sensible Dateien auszuspähen.
Im Dezember 2021 hat Microsoft außerdem eine weitere Sicherheitslücke im Azure App Service behoben, die dazu führte, dass der Quellcode von Kundenanwendungen, die in Java, Node, PHP, Python und Ruby geschrieben wurden, seit September 2017 mindestens vier Jahre lang offengelegt wurde.