Check Point گزارش داد
انتشار جزیيات دو آسيب‌پذيری در زيرساخت MICROSOFT AZURE
کد مطلب: 16347
تاریخ انتشار : دوشنبه ۲۱ بهمن ۱۳۹۸ ساعت ۱۴:۵۶
 
دانشمندان امنیت سایبری موسسه Check Point، جزییات درباره دو ‫آسیب‌پذیری تازه وصله‌شده در سرویس‌های Microsoft Azure منتشر کرده‌اند.
انتشار جزیيات دو آسيب‌پذيری در زيرساخت MICROSOFT AZURE
 
 
Share/Save/Bookmark
دانشمندان امنیت سایبری موسسه Check Point، جزییات درباره دو ‫آسیب‌پذیری تازه وصله‌شده در سرویس‌های Microsoft Azure منتشر کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی Check Point، جزییات مربوط به دو ‫آسیب‌پذیری تازه وصله‌شده در سرویس‌های Microsoft Azure را منتشر کرده‌اند. سوءاستفاده‌ موفق از این دو آسیب‌پذیری به مهاجمان اجازه می‌دهد تجارت‌های مختلفی که وب و برنامه‌های تلفن همراه خود را در Azure اجرا می‌کنند، هدف قرار دهند.

این دو آسیب‌پذیری در طی سال ۲۰۱۹ کشف و در پایان همان سال وصله شدند. آسیب‌پذیری اول با شناسه‌ CVE-۲۰۱۹-۱۲۳۴ شناسایی می‌‌شود و یک نقص جعل درخواست است که بر راه‌حل نرم‌افزار محاسباتی ابری Microsoft Azure Stack (یک ابزار ابری ترکیبی برای استفاده تجاری) اثر می‌گذارد. این آسیب‌پذیری جعل درخواست زمانی وجود دارد که Azure Stack نتواند درخواست‌های خاص را اعتبارسنجی کند. مهاجمان می‌توانند با ارسال یک درخواست ساختگی به پورتال Azure Stack، از این آسیب‌پذیری سوءاستفاده کنند. سوءاستفاده‌ موفق از این آسیب‌پذیری باعث می‌شود مهاجمان بتوانند به منابع داخلی Azure Stack درخواست ایجاد کنند.

یکی از سرویس‌های آسیب‌پذیر Azure Stack که مورد بررسی محققین Check Point قرار گرفته است، DataService است. این سرویس نیاز به هیچ احرازهویتی ندارد و به مهاجم اجازه می‌دهد به اطلاعات حساس هر شرکتی که بر روی زیرساخت Azure اجرا می‌شود (خواه دستگاه اشتراکی باشد، خواه ایزوله) دست یابد. مهاجمان ابتدا باید به پورتال Azure Stack دست یابند و سپس درخواست‌های HTTP احرازنشده را که اسکرین‌شات‌ها و اطلاعات مربوط به مستأجران و دستگاه‌های زیرساختی را ارائه می‌دهند، ارسال کنند.

این آسیب‌پذیری تنها از طریق Azure Stack Portal (واسطی که کاربران می‌توانند در آن به ابرهایی با استفاده از Azure Stack ایجاد کرده‌اند، دست یابند) قابل سوءاستفاده است که یک بردار حمله‌ بسیار معتبر نیز است.

آسیب‌پذیری دوم که با شناسه‌ CVE-۲۰۱۹-۱۳۷۲ ردیابی می‌شود، یک نقص اجرا کد راه‌دور است که بر Azure App Service از Azure Stack اثر می‌گذارد. این آسیب‌پذیری می‌تواند برای به‌دست آوردن کنترل کامل کارگزار Azure و در نتیجه به دست آوردن کد تجاری شرکت، مورد سوءاستفاده قرار گیرد.

Azure App Service، یک سرویس یکپارچه‌ی کاملاً مدیریت‌شده‌ای است که به کاربران این امکان را می‌دهد برنامه‌های وب و تلفن همراه را در بسترهای مختلف و APIهای RESTful را در زبان برنامه‌نویسی خود بدون مدیریت زیرساخت، ایجاد و میزبانی کنند.

نقص CVE-۲۰۱۹-۱۳۷۲ در روش DWASSVC (سرویسی که مناسب مدیریت‌ و اجرای برنامه‌های مستأجر و فرایندهای IIS کارگر است) وجود دارد. این آسیب‌پذیری زمانی وجود دارد که Azure Stack نتواند طول یک بافر را پیش از کپی‌کردن حافظه در آن، بررسی کند. مهاجم می‌تواند با ارسال یک پیام ساختگی خاص به سرویس DWASSVC، از این نقص سوءاستفاده کند و به یک تابع غیرممتاز که توسط کاربر اجرا می‌شود اجازه دهد کد مخرب را در متن سیستم یا NT AUTHORITY اجرا کند و در نتیجه‌ی آن، سندباکس را دور بزند. ارسال پیام به DWASSVC توسط مهاجم بدین صورت است که زمانی که تابع C# Azure اجرا می‌شود، در متن کارگر اجرا می‌شود. این امر به مهاجم اجازه می‌دهد handleهایی را که در حال حاضر باز شده‌اند، بشمارد. از این طریق handle از قبل‌ بازشده را بیابد و یک پیام ساختگی خاص ارسال کند.

با زنجیرکردن این دو نقص مهاجمان می‌توانند یک حساب کاربری رایگان با Azure Cloud ایجاد کنند و توابع مخرب Azure را بر روی آن اجرا نمایند یا درخواست‌های HTTP احرازنشده را به پورتال کاربری Azure Stack ارسال نمایند. در صورت سوءاستفاده‌ی موفق، مهاجمان می‌توانند به‌طور بالقوه کنترل کامل کارگزار Azure که کد تجاری را با خود حمل می‌کند، به‌دست آورند.
مرجع : مرکز ماهر