Microsoft Azure possui falha de segurança que expões contas de armazenamento a hackers

Microsoft Azure expões contas de armazenamento a hackers

A Microsoft Azure expões contas de armazenamento em falha de elevação de privilégios. A falha de segurança descoberta no Microsoft Azure pode ser explorada por invasores para obter acesso a contas de armazenamento, mover-se lateralmente no ambiente e até mesmo executar código remoto (RCE).

“É possível abusar e aproveitar as contas de armazenamento da Microsoft manipulando as funções do Azure para roubar tokens de acesso de identidades de privilégios mais altos, mover-se lateralmente, potencialmente acessar ativos críticos de negócios e executar código remoto (RCE)”, disse a empresa Orca em um novo relatório compartilhado com o thehackernews.

O caminho de exploração que sustenta esse ataque é um mecanismo chamado autorização de chave compartilhada, que é habilitado por padrão em contas de armazenamento.

De acordo com a Microsoft, o Azure gera duas chaves de acesso de conta de armazenamento de 512 bits ao criar uma conta de armazenamento. Essas chaves podem ser usadas para autorizar o acesso aos dados por meio de autorização de chave compartilhada ou por meio de tokens SAS assinados com a chave compartilhada.

“As chaves de acesso à conta de armazenamento fornecem acesso total à configuração de uma conta de armazenamento, bem como aos dados”, observa a Microsoft em sua documentação. “O acesso à chave compartilhada concede ao usuário acesso total à configuração de uma conta de armazenamento e seus dados.”

A empresa de segurança em nuvem disse que esses tokens de acesso podem ser roubados pela manipulação do Azure Functions, permitindo potencialmente que um agente de ameaça com acesso a uma conta com função de Colaborador de Conta de Armazenamento escalone privilégios e assuma o controle de sistemas.

Especificamente, se uma identidade gerenciada for usada para invocar o aplicativo Function, ela poderá ser abusada para executar qualquer comando. Isso, por sua vez, é possível devido ao fato de que uma conta de armazenamento dedicada é criada ao implantar um aplicativo Azure Function.

“Depois que um invasor localiza a conta de armazenamento de um aplicativo Function atribuído a uma forte identidade gerenciada, ele pode executar o código em seu nome e, como resultado, adquirir uma escalação de privilégio de assinatura (PE)”, disse Roi Nisimi, pesquisador da Orca.

Em outras palavras, ao exfiltrar o token de acesso da identidade gerenciada atribuída ao aplicativo Azure Function para um servidor remoto, um agente de ameaça pode elevar privilégios, mover-se lateralmente, acessar novos recursos e executar um shell reverso em máquinas virtuais.

“Ao substituir arquivos de função em contas de armazenamento, um invasor pode roubar e exfiltrar uma identidade com privilégios mais altos e usá-la para se mover lateralmente, explorar e comprometer os dados das vítimas”, explicou Nisimi.

Como mitigações, é recomendável que as organizações considerem desabilitar a autorização de chave compartilhada do Azure e usar a autenticação do Azure Active Directory. Em uma divulgação coordenada, a Microsoft disse que “planeja atualizar como as ferramentas de cliente do Functions funcionam com contas de armazenamento”.

“Isso inclui alterações para melhorar os cenários de suporte usando identidade. Depois que as conexões baseadas em identidade para AzureWebJobsStorage estiverem disponíveis e as novas experiências forem validadas, a identidade se tornará o modo padrão para AzureWebJobsStorage, que se destina a afastar-se da autorização de chave compartilhada”, disse o gigante da tecnologia acrescentou ainda.