Eρευνητές κυβερνοασφάλειας της Check Point αποκάλυψαν λεπτομέρειες για δύο δυνητικά επικίνδυνα σφάλματα στις υπηρεσίες του Microsoft Azure, τα οποία, θα μπορούσαν να δώσουν στους χάκερς τη δυνατότητα να στοχοποιήσουν και να εκμεταλλευτούν πολλές επιχειρήσεις που εκτελούν τις web και mobile εφαρμογές τους στο Azure. Το Azure App επιτρέπει στους χρήστες να δημιουργούν web και mobile εφαρμογές για οποιαδήποτε πλατφόρμα ή συσκευή και να τις ενσωματώνουν εύκολα με λύσεις SaaS, σε εσωτερικές εφαρμογές για να αυτοματοποιήσουν επιχειρηματικές διαδικασίες.
Σύμφωνα με μια αναφορά που κοινοποίησαν οι ερευνητές στο The Hacker News, το πρώτο σφάλμα ασφαλείας (CVE-2019-1234) είναι ένα spoofing ζήτημα που επηρέασε το Azure Stack (μια λύση λογισμικού υβριδικού cloud computing από την Microsoft).
Αυτό το σφάλμα θα επέτρεπε σε έναν χάκερ να αποκτήσει απομακρυσμένη μη εξουσιοδοτημένη πρόσβαση σε screenshots και ευαίσθητες πληροφορίες οποιασδήποτε εικονικής μηχανής που έτρεχε το Azure. Σύμφωνα με τους ερευνητές, αυτό το σφάλμα μπορούν να το εκμεταλλευτούν οι χάκερς μέσω του Microsoft Azure Stack Portal, μιας διεπαφής όπου οι χρήστες μπορούν να έχουν πρόσβαση στα cloud που έχουν δημιουργήσει χρησιμοποιώντας το Azure Stack.
Με την αξιοποίηση ενός ασφαλισμένου API, οι ερευνητές βρήκαν έναν τρόπο να αποκτήσουν πρόσβαση στο όνομα και την ταυτότητα της εικονικής μηχανής, στις πληροφορίες υλικού (πυρήνες, πλήρης μνήμη) των στοχοποιημένων μηχανών και, στη συνέχεια, να το χρησιμοποιήσουν με άλλο αίτημα HTTP χωρίς έλεγχο ταυτότητας για να κλέψουν screenshots.
Όσον αφορά το δεύτερο σφάλμα (CVE-2019-1372), αυτό σχετίζεται με την εξ αποστάσεως εκτέλεση κώδικα που επηρέασε την υπηρεσία του Azure App στο Azure Stack, πράγμα που θα έδινε σε έναν χάκερ την δυνατότητα να αποκτήσει τον πλήρη έλεγχο ολόκληρου του Azure server και κατά συνέπεια να αναλάβει τον έλεγχο του επιχειρηματικού κώδικα μιας εταιρείας.
Ένας χάκερ μπορεί να εκμεταλλευτεί και τα δύο αυτά σφάλματα με τη δημιουργία ενός δωρεάν λογαριασμού στο Azure Cloud και την εκτέλεση κακόβουλων λειτουργιών σε αυτό ή την αποστολή HTTP requests χωρίς έλεγχο ταυτότητας στο portal ενός χρήστη του Azure Stack.
Ο ερευνητής της Check Point, Ronen Shustin, ο οποίος ανακάλυψε τα σφάλματα, τα ανέφερε στην Microsoft, εμποδίζοντας τους χάκερς να προκαλέσουν σοβαρές βλάβες και κατάσταση χάους. Μετά την διόρθωση και των δύο σφαλμάτων, η εταιρεία βράβευσε τον Shustin δίνοντάς του 40.000 δολάρια στο πλαίσιο του προγράμματος Azure bug bounty.
