Microsoft Azure уязвим

Исследователи Check Point Research, подразделения компании  Check Point® Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности, выявили две уязвимости Microsoft Azure, одного из ведущих поставщиков облачных вычислений в мире.

Исследователи обнаружили, что пользователи в сети Azure могли получить контроль над всем сервером, что могло привести к краже или изменению кода бизнес-приложений организаций.

Первый недостаток безопасности был обнаружен в Azure Stack. Уязвимость Azure Stack позволяла хакеру получить скриншоты и конфиденциальную информацию о машинах, работающих на Azure. Вторую уязвимость обнаружили в службе приложений Azure App Service. Недостаток безопасности позволял хакерам получить контроль над всем сервером Azure и, следовательно, получить контроль над кодом бизнес-приложений организаций.

Check Point и Microsoft провели совместную работу, чтобы сделать облако более безопасным.

Уязвимость Azure Stack: злоумышленники могли получать скриншоты и конфиденциальную информацию о вычислительных машинах в Azure

 

Azure Stack — это программное решение для облачных вычислений, разработанное корпорацией Microsoft, которое помогает предприятиям предоставлять службы Azure из собственного центра обработки данных. Microsoft создала Azure Stack, чтобы помочь организациям использовать гибридные облачные вычисления на их собственных условиях, используя возможности облака. При этом компании могут учитывать различные технические и бизнес факторы, такие как нормативные требования, суверенность данных, настройки и задержка данных.

Исследователям Check Point удалось получить снимки экрана и конфиденциальную информацию о клиентах Azure и машинах инфраструктуры. Эта уязвимость позволила бы хакеру получить конфиденциальную информацию о любом предприятии, на котором оно работает в Azure. Чтобы это сделать, злоумышленнику необходимо было сначала получить доступ к порталу Azure Stack, что позволяет отправлять неаутентифицированные HTTP-запросы, содержащие снимки экрана и информацию об арендаторах и машинах инфраструктуры.

Уязвимость службы приложений Azure: злоумышленники могли получить контроль над сервером и кодом бизнес-приложений

Служба приложений Azure — это полностью управляемая «Платформа как услуга» (Platform as a Service, PaaS), которая объединяет веб-сайты Microsoft Azure, мобильные и другие услуги в единую службу. Такая служба дает новые возможности, которые обеспечивают интеграцию с локальными или облачными системами.

Служба приложений Azure открывает  пользователям несколько возможностей. Среди них — предоставление и развертывание мобильных и веб-приложений, создание приложений для iOS, Android и Windows, автоматизация бизнес-процессов с помощью визуального проектирования и интеграция с приложениями «Программное обеспечение как услуга» (Software as a Service, SaaS), такими как Salesforce, Marketo и DropBox.

Исследователи из Check Point доказали, что хакеры могли скомпрометировать приложения, данные и учетные записи клиента, создав бесплатного пользователя в облаке Azure и воспользовавшись уязвимыми местами в нем.

Об исследовании

Исследователи Check Point установили Azure Stack Development Kit (ASDK) на свои собственные серверы. После того, как ASDK был установлен, они  отметили места, где потенциально могли быть найдены уязвимости. Поскольку Azure Stack имеет функции, аналогичные публичному облаку Azure, исследователи Check Point сосредоточились на этих векторах.

Компания Check Point сообщила об обнаруженных уязвимостях Microsoft. Первая уязвимость была найдена Check Point 19 января 2019 года, после чего Microsoft выпустила обновление безопасности CVE-2019-1234. Вторую уязвимость раскрыли 27 июня 2019 года, тогда Microsoft обновил защиту от CVE-2019-1372. Check Point и Microsoft совместно решили вопросы безопасности: патчи для обеих уязвимостей в Azure были выпущены в конце 2019 года.

 

Похожие записи