Uno dei motivi per cui alcune organizzazioni preferiscono i servizi di cloud ibrido come Microsoft Azure Stack è la possibilità di mantenere i dati sensibili in locale, in modo sicuro.
Ma qualche tempo fa gli analisti di Check Point Research hanno scoperto due vulnerabilità di sicurezza critiche nella piattaforma on-premise e ora hanno rilasciato un rapporto che spiega in dettaglio come hanno fatto.
Alcune richieste di servizio non richiedevano alcuna convalida nello Stack di Azure
I ricercatori sono stati in grado di dimostrare come un malintenzionato potrebbe sfruttare una svista apparentemente minore nella progettazione del software per causare seri problemi.
Sono rimasti sorpresi nello scoprire che alcune richieste in Azure non richiedevano l'autenticazione. Questa vulnerabilità ha consentito loro di accedere a specifiche risorse interne di Azure Stack.
Nel nostro caso, poiché DataService non richiedeva l'autenticazione, questo alla fine ci ha permesso di ottenere screenshot e informazioni su tenant e macchine dell'infrastruttura.
Il secondo problema di sicurezza che hanno identificato è il server-side request forgery (SSRF). Questo difetto ha consentito loro di sfruttare la mancanza di convalida delle richieste in Azure distribuendo una richiesta appositamente predisposta tramite il portale utente della piattaforma.
Come ci sono riusciti
Gli analisti hanno iniziato configurando Azure Stack sul proprio computer per creare un cloud privato. Hanno quindi identificato "DataService" come uno dei servizi sulla piattaforma che non richiedeva alcuna convalida.
Dopo un'ulteriore esplorazione delle API, hanno scoperto di poter ottenere molte informazioni sulle macchine Azure Stack, come l'ID del dispositivo e le specifiche di sistema.
In definitiva, i ricercatori potrebbero richiamare determinate funzioni e acquisire schermate su macchine specifiche. Eseguendo una violazione SSRF, sono riusciti ad accedere a "DataService" e a fornire una richiesta di screenshot senza alcun ostacolo lato server.
I clienti di Azure Stack non devono più preoccuparsi della minaccia di spoofing perché Microsoft ha fornito un aggiornamento per la sicurezza. Tuttavia, non si può fare a meno di chiedersi se il cloud pubblico di Azure abbia mai avuto lo stesso problema, considerando che condivide funzionalità simili con l'alternativa in sede.
Check Point Research non ha potuto sottoporre l'infrastruttura del cloud pubblico di Microsoft a un test simile a causa delle complicazioni coinvolte.
Azure ha fatto molta strada, comunque. Sulla base della sua performance finanziaria per il secondo trimestre, il prodotto è vitale per la crescita complessiva dei ricavi di Microsoft.
Si spera che la soluzione di cloud pubblico convalidi tutte le richieste di servizio per ridurre al minimo il rischio di intrusione SSRF.
- microsoft
- Microsoft Azure