Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
EmojiDeploy-Fehler ermöglicht RCE in Microsoft Azure-Diensten
3. Februar 2023. TuxCare PR Team
Ermetic-Forscher entdeckten EmojiDeploy, einen Cross-Site-Request-Forgery (CSRF)-Bug in Microsoft Azure-Diensten, der es Angreifern ermöglichen könnte, Code aus der Ferne auf betroffenen Systemen auszuführen.
Laut dem Blog-Post des Unternehmens liegt die Schwachstelle in der Art und Weise, wie der Azure-Authentifizierungsprozess für seine Dienste gehandhabt wird. Ein Angreifer könnte durch Ausnutzung des CSRF-Bugs einen Benutzer dazu verleiten, Aktionen in seinem Namen auszuführen, z. B. die Ausführung von Code oder den Zugriff auf sensible Informationen.
Die Schwachstelle wurde bei einem Penetrationstest entdeckt und Microsoft über sein Bug Bounty-Programm gemeldet. Microsoft hat inzwischen einen Patch veröffentlicht, um das Problem zu beheben.
Der Fehler wurde durch die Manipulation einer Reihe von Fehlkonfigurationen und Sicherheitsumgehungen in Kudu entdeckt, einem Backend-Tool zur Quellcodeverwaltung (SCM), das von wichtigen Diensten wie Azure Functions, Azure App Service und Azure Logic Apps verwendet wird.
EmojiDeploy ist der Name, der dem Fehler gegeben wurde, weil Kudu standardmäßig so konfiguriert ist, dass es anfällig für Cross-Site Request Forgeries ist. Dies würde es einem Akteur ermöglichen, einen bösartigen Domain Name System-Datensatz zu erstellen, der durch die Verwendung von Sonderzeichen die Ursprungsprüfungen eines SCM-Servers umgehen könnte. Die von den Ermetic-Forschern zur Umgehung dieser Prüfungen und Sicherheitskontrollen verwendeten Sonderzeichen waren in diesem Fall "._.", das wie ein Emoji aussieht.
Der Angreifer muss dann einen anfälligen Endpunkt ausfindig machen, um eine bösartige Zip-Datei über einen Browser bereitzustellen. Ein Angreifer kann Code und Befehle als www-Benutzer ausführen, sensible Daten stehlen oder löschen, die verwaltete Identität der App übernehmen, sich über andere Azure-Dienste hinweg bewegen und künftige Phishing-Kampagnen mit einem einzigen Klick ermöglichen.
Den Forschern von Ermetic zufolge könnte die Schwachstelle schwerwiegende Folgen für Unternehmen haben, die Azure-Dienste nutzen, da sie Angreifern die Übernahme ganzer Systeme und den Diebstahl sensibler Daten ermöglichen könnte. Sie warnen auch, dass die Schwachstelle besonders für Organisationen gefährlich sein könnte, die Azure zur Verwaltung kritischer Infrastrukturen oder sensibler Daten nutzen.
"Diese Schwachstelle macht deutlich, dass Unternehmen ihre Systeme wachsam schützen und robuste Sicherheitsmaßnahmen ergreifen müssen", so Assaf Harel, CEO von Ermetic. "Sie erinnert uns auch daran, dass selbst die seriösesten Unternehmen nicht vor Sicherheitslücken gefeit sind".
Microsoft hat eine Erklärung herausgegeben, in der es heißt, dass die Sicherheitslücke bekannt sei und dass man daran gearbeitet habe, sie zu schließen. Sie haben auch erklärt, dass sie keine Beweise dafür gesehen haben, dass die Sicherheitslücke in freier Wildbahn ausgenutzt wird. Microsoft empfiehlt seinen Kunden, den Patch so bald wie möglich zu installieren und ihre Systeme weiterhin auf verdächtige Aktivitäten zu überwachen.
Zu den Quellen für diesen Beitrag gehört ein Artikel im SCMagazine.
