Descobertas Falhas de Segurança em MicroSoft Azure

Atacantes podem ter tomado controlo de servidores de negócio a correr soluções Microsoft Azure para roubar ou alterar código . Check Point Software e Microsoft trabalharam em conjunto para solucionar brecha e tornar o ambiente Azure mais seguro

Investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, identificaram duas falhas graves de segurança no Microsoft Azure, um dos maiores fornecedores de soluções cloud do mundo. Os investigadores da Check Point descobriram que umutilizador na rede Azure podia potencialmente assumir o controlo total sobre um servidor, possibilitando o roubo de código ou sua manipulação.

A primeira brecha de segurança foi descoberta no Azure Stack. A segunda falha de segurança foi encontrada no Azure App Service. A falha no Azure Stack permitia a um hacker obter imagens e informação confidencial das máquinas que corressem Azure. A falha na Azure App permitia que um cibercriminoso pudesse obter o controlo sobre todo o servidor Azure, e consequentemente ganhar controlo sobre o código corporativo das empresas.

A Check Point e a Microsoft trabalharam em conjunto para solucionar estes problemas, tornando a cloud mais segura.

Falha no Azure Stack: Atacante Obtém Imagens e Informação Confidencial das Máquinas em Azure

O Azure Stack é uma solução de software de computação cloud desenvolvida pela Microsoft que foi desenhada para apoiar as empresas a disponibilizar serviços Azure a partir dos seus próprios danta centers. A Microsoft criou o Azure Stack como forma de apoiar as organizações a adotar a computação de cloud híbridas segundo os seus próprios requisitos sem perder toda a potencialidade do poder da cloud, enquanto podem endereçar requisitos de negócio e técnicos como sejam regulamentação, propriedade de dados, customização e latência.

A equipa de investigação da Check Point conseguiu captar imagens de ecrans e aceder a informação confidencial em ambientes Azure e em servidores. Esta falha de segurança permitia a um hacker aceder a informação confidencial de qualquer empresa que pudesse encontrar-se num máquina que corra Azure. De modo a executar esta falha, o cibercriminoso teria de obter acesso ao Azure Stack Portal, permitindo-lhe enviar pedidos de HTTP não autenticados que pudessem fornecer imagens e informação existente nos diversos ambientes e máquinas da infraestrutura.

Falha na Azure App: Atacante Toma Controlo Sobre Servidor e Código

O Azure App Service é totalmente gerido como “Platform as a Service” (PaaS) que integra os Microsoft Azure Websites, serviços Mobile, e outros serviços num só serviço, adicionando novas funcionalidades que permitem a integração com sistemas cloud e on-premise. O Azure App Service permite aos utilizadores diversas capacidades como provisionamento e implementação web e de apps mobile, construção de apps iOS, Android e Windows, automatizar processos de negócio através de uma experiência visual gráfica, e integração com aplicações de “Software as a Service” (SaaS) como Salesforce, Marketo e DropBox.

Os investigadores da Check Point conseguiram provar que um hacker poderia comprometer aplicações terceiras, dados e contas através da criação de um utilizador gratuito na Azure Cloud e correndo funções maliciosas em Azure. O resultado final poderia equivaler ao cibercriminoso potencialmente tomar o controlo de todo o servidor Azure, e consequentemente controlar toda a informação corporativa.

Processo de Investigação da Check Point

Os investigadores da Check Point começaram por instalar o Azure Stack Development Kit (ASDK) nos seus próprios servidores. Depois de instalar o ASDK, a equipa de investigação da Check Point mapeou os locais que onde poderiam encontrar potenciais vulnerabilidades. Visto oAzure Stack ter funcionalidades similares à da cloud pública Azure, os invetigadores da Check Point focaram-se nesses vetores.

Reporte Responsável

A Check Point revelou de forma responsável esta descoberta à Microsoft. A primeira falha foi reportada pela Check Point a 19 de Janeiro de 2019, para a qual a Microsoft criou o CVE-2019-1234, respetivamente. A segunda falha for reportada pela Check Point a 27 de Junho de 2019, para a qual a Microsoft lançou o CVE-2019-1372. Em conjunto, a Check Point e a Microsoft trabalharam em parceria para solucionar estes problemas. Os pacotes completos para estas falhas de segurança no Azure foram lançados publicamente no final de 2019.

Veja aqui mais trabalhos de investigação da Check Point.