微軟 Azure 曝“設計缺陷”,暴露存儲賬戶

發(fā)布時間 2023-04-13

The Hacker News 網(wǎng)站披露,研究人員發(fā)現(xiàn)微軟 Azure 中存在一個”設計缺陷 ”,一旦攻擊者成功利用,便可以訪問存儲帳戶,甚至可在內部系統(tǒng)環(huán)境中橫向移動,執(zhí)行遠程代碼。


The Hacker News 在與 Orca 分享的一份新報告中表示,攻擊者可以利用該缺陷,通過操縱 Azure 功能竊取更高特權身份的訪問令牌、橫向移動、秘密訪問關鍵業(yè)務資產和執(zhí)行遠程代碼(RCE),甚至有可能濫用和利用 Microsoft 存儲帳戶。


從微軟的說法來看,Azure 在創(chuàng)建存儲帳戶時會生成兩個 512 位的存儲帳戶訪問密鑰,這些密鑰可用于通過共享密鑰授權或通過使用共享密鑰簽名的 SAS令牌授權對數(shù)據(jù)的訪問。更危險的是,這些訪問密鑰可以通過操縱 Azure 功能來竊取,這就給威脅攻擊者留下了升級權限并接管系統(tǒng)的“后門”。


因為在部署 Azure Function 應用程序時會創(chuàng)建一個專用存儲帳戶,如果使用管理員身份來調用 Function 應用程序,則可能會濫用該標識來執(zhí)行任何命令。Orca 研究人員 Roi Nisimi 指出一旦攻擊者獲得了具有強托管身份的 Function 應用程序的存儲帳戶,就可以代表自己運行代碼,從而獲得訂閱權限升級(PE),攻擊者就可以者可以提升權限、橫向移動、訪問新資源,并在虛擬機上執(zhí)行反向 shell 了。


緩解措施


至于緩解措施,Orca 建議企業(yè)考慮禁用 Azure 共享密鑰授權,改用 Azure 活動目錄認證。在微軟發(fā)布的一份報告中,微軟表示計劃更新 Functions 客戶端工具與存儲帳戶的工作方式,包括對使用身份更好地支持場景的更改。


值得一提的是,微軟幾周前修補了影響 Azure Active Directory 的錯誤配置漏洞以及 Azure Service Fabric Explorer(SFX)中反映的 XSS 漏洞,前者可能會篡改 Bing 搜索結果,后者可能導致未經驗證的遠程代碼執(zhí)行。