دانشمندان امنیت سایبری موسسه Check Point، جزییات درباره دو آسیبپذیری تازه وصلهشده در سرویسهای Microsoft Azure منتشر کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی Check Point، جزییات مربوط به دو آسیبپذیری تازه وصلهشده در سرویسهای Microsoft Azure را منتشر کردهاند. سوءاستفاده موفق از این دو آسیبپذیری به مهاجمان اجازه میدهد تجارتهای مختلفی که وب و برنامههای تلفن همراه خود را در Azure اجرا میکنند، هدف قرار دهند.
این دو آسیبپذیری در طی سال ۲۰۱۹ کشف و در پایان همان سال وصله شدند. آسیبپذیری اول با شناسه CVE-۲۰۱۹-۱۲۳۴ شناسایی میشود و یک نقص جعل درخواست است که بر راهحل نرمافزار محاسباتی ابری Microsoft Azure Stack (یک ابزار ابری ترکیبی برای استفاده تجاری) اثر میگذارد. این آسیبپذیری جعل درخواست زمانی وجود دارد که Azure Stack نتواند درخواستهای خاص را اعتبارسنجی کند. مهاجمان میتوانند با ارسال یک درخواست ساختگی به پورتال Azure Stack، از این آسیبپذیری سوءاستفاده کنند. سوءاستفاده موفق از این آسیبپذیری باعث میشود مهاجمان بتوانند به منابع داخلی Azure Stack درخواست ایجاد کنند.
یکی از سرویسهای آسیبپذیر Azure Stack که مورد بررسی محققین Check Point قرار گرفته است، DataService است. این سرویس نیاز به هیچ احرازهویتی ندارد و به مهاجم اجازه میدهد به اطلاعات حساس هر شرکتی که بر روی زیرساخت Azure اجرا میشود (خواه دستگاه اشتراکی باشد، خواه ایزوله) دست یابد. مهاجمان ابتدا باید به پورتال Azure Stack دست یابند و سپس درخواستهای HTTP احرازنشده را که اسکرینشاتها و اطلاعات مربوط به مستأجران و دستگاههای زیرساختی را ارائه میدهند، ارسال کنند.
این آسیبپذیری تنها از طریق Azure Stack Portal (واسطی که کاربران میتوانند در آن به ابرهایی با استفاده از Azure Stack ایجاد کردهاند، دست یابند) قابل سوءاستفاده است که یک بردار حمله بسیار معتبر نیز است.
آسیبپذیری دوم که با شناسه CVE-۲۰۱۹-۱۳۷۲ ردیابی میشود، یک نقص اجرا کد راهدور است که بر Azure App Service از Azure Stack اثر میگذارد. این آسیبپذیری میتواند برای بهدست آوردن کنترل کامل کارگزار Azure و در نتیجه به دست آوردن کد تجاری شرکت، مورد سوءاستفاده قرار گیرد.
Azure App Service، یک سرویس یکپارچهی کاملاً مدیریتشدهای است که به کاربران این امکان را میدهد برنامههای وب و تلفن همراه را در بسترهای مختلف و APIهای RESTful را در زبان برنامهنویسی خود بدون مدیریت زیرساخت، ایجاد و میزبانی کنند.
نقص CVE-۲۰۱۹-۱۳۷۲ در روش DWASSVC (سرویسی که مناسب مدیریت و اجرای برنامههای مستأجر و فرایندهای IIS کارگر است) وجود دارد. این آسیبپذیری زمانی وجود دارد که Azure Stack نتواند طول یک بافر را پیش از کپیکردن حافظه در آن، بررسی کند. مهاجم میتواند با ارسال یک پیام ساختگی خاص به سرویس DWASSVC، از این نقص سوءاستفاده کند و به یک تابع غیرممتاز که توسط کاربر اجرا میشود اجازه دهد کد مخرب را در متن سیستم یا NT AUTHORITY اجرا کند و در نتیجهی آن، سندباکس را دور بزند. ارسال پیام به DWASSVC توسط مهاجم بدین صورت است که زمانی که تابع C# Azure اجرا میشود، در متن کارگر اجرا میشود. این امر به مهاجم اجازه میدهد handleهایی را که در حال حاضر باز شدهاند، بشمارد. از این طریق handle از قبل بازشده را بیابد و یک پیام ساختگی خاص ارسال کند.
با زنجیرکردن این دو نقص مهاجمان میتوانند یک حساب کاربری رایگان با Azure Cloud ایجاد کنند و توابع مخرب Azure را بر روی آن اجرا نمایند یا درخواستهای HTTP احرازنشده را به پورتال کاربری Azure Stack ارسال نمایند. در صورت سوءاستفادهی موفق، مهاجمان میتوانند بهطور بالقوه کنترل کامل کارگزار Azure که کد تجاری را با خود حمل میکند، بهدست آورند.