Un error en EmojiDeploy permite RCE en servicios de Microsoft Azure
Investigadores de Ermetic descubrieron EmojiDeploy, un error de falsificación de solicitud de sitio cruzado (CSRF) en los servicios de Microsoft Azure que podría permitir a los atacantes ejecutar código de forma remota en los sistemas afectados.
Según el blog de la compañía, la vulnerabilidad está en la forma en que se gestiona el proceso de autenticación de Azure para sus servicios. Un atacante podría engañar a un usuario para que realice acciones en su nombre, como ejecutar código o acceder a información sensible, explotando el fallo CSRF.
El fallo se descubrió durante una prueba de penetración y se comunicó a Microsoft a través de su programa de recompensas por fallos. Microsoft ha publicado un parche para solucionar el problema.
El fallo se descubrió manipulando una serie de errores de configuración y derivaciones de seguridad en Kudu, una herramienta back-end de gestión de control de código fuente (SCM) utilizada por importantes servicios como Azure Functions, Azure App Service y Azure Logic Apps.
EmojiDeploy es el nombre dado al fallo porque Kudu está configurado por defecto de una forma que lo hace vulnerable a las falsificaciones de peticiones entre sitios. Esto permitiría a un actor crear un registro de Sistema de Nombres de Dominio malicioso que, utilizando caracteres especiales, podría eludir las comprobaciones de origen de un servidor SCM. Los caracteres especiales utilizados por los investigadores de Ermetic para eludir esas comprobaciones y controles de seguridad en este caso fueron "._.", que se parece a un emoji.
El atacante debe entonces localizar un endpoint vulnerable para desplegar un archivo zip malicioso a través de un navegador. Un atacante puede ejecutar código y comandos como el usuario www, robar o eliminar datos confidenciales, tomar el control de la identidad gestionada de la aplicación, realizar movimientos laterales a través de otros servicios de Azure y facilitar futuras campañas de phishing con un solo clic.
La vulnerabilidad, según los investigadores de Ermetic, podría tener graves consecuencias para las organizaciones que utilizan los servicios de Azure, ya que podría permitir a los atacantes hacerse con el control de sistemas enteros y robar datos sensibles. También advierten de que el fallo podría ser especialmente peligroso para las organizaciones que utilizan Azure para gestionar infraestructuras críticas o datos sensibles.
"Esta vulnerabilidad pone de relieve la necesidad de que las organizaciones estén atentas a la protección de sus sistemas y cuenten con medidas de seguridad sólidas", ha declarado el director general de Ermetic, Assaf Harel. "También sirve como recordatorio de que incluso las empresas más reputadas no son inmunes a las vulnerabilidades de seguridad".
Microsoft ha emitido un comunicado diciendo que son conscientes de la vulnerabilidad y han trabajado para parchearla. También han declarado que no han visto ninguna evidencia de que la vulnerabilidad esté siendo explotada en la naturaleza. Recomiendan a los clientes que apliquen el parche lo antes posible y sigan vigilando sus sistemas para detectar cualquier actividad sospechosa.
Las fuentes de este artículo incluyen un artículo en SCMagazine.