يمكن للمهاجمين استغلال "عيب حسب التصميم" تم اكتشافه في Microsoft Azure للوصول إلى حسابات التخزين ، والتحرك بشكل جانبي في البيئة ، وحتى تنفيذ التعليمات البرمجية عن بُعد.
قال Orca في تقرير جديد شاركه مع The Hacker News.
مسار الاستغلال الذي يدعم هذا الهجوم هو آلية تسمى ترخيص المفتاح المشترك ، والذي يتم تمكينه افتراضيًا على حسابات التخزين.
وفقًا لمايكروسوفت ، ينشئ Azure مفتاحي وصول إلى حساب تخزين سعة 512 بت عند إنشاء حساب تخزين. يمكن استخدام هذه المفاتيح للسماح بالوصول إلى البيانات عبر ترخيص المفتاح المشترك ، أو عبر رموز SAS المميزة الموقعة بالمفتاح المشترك.
"توفر مفاتيح الوصول إلى حساب التخزين وصولاً كاملاً إلى تكوين حساب التخزين ، فضلاً عن البيانات" ، تلاحظ Microsoft في وثائقها. "يمنح الوصول إلى المفتاح المشترك المستخدم حق الوصول الكامل إلى تكوين حساب التخزين وبياناته."
قالت شركة الأمان السحابية إنه يمكن سرقة رموز الوصول هذه عن طريق التلاعب بوظائف Azure ، مما يُحتمل أن يُمكِّن ممثل التهديد من الوصول إلى حساب مع دور مساهم حساب التخزين لتصعيد الامتيازات والاستيلاء على الأنظمة.
على وجه التحديد ، في حالة استخدام هوية مُدارة لاستدعاء تطبيق الوظيفة ، فقد يتم إساءة استخدامها لتنفيذ أي أمر. أصبح هذا بدوره ممكنًا نظرًا لحقيقة إنشاء حساب تخزين مخصص عند نشر تطبيق Azure Function.
قال روي نيسيمي الباحث في شركة Orca: "بمجرد أن يحدد المهاجم موقع حساب التخزين لتطبيق الوظيفة الذي تم تعيينه بهوية مُدارة قوية ، يمكنه تشغيل التعليمات البرمجية نيابة عنه ، ونتيجة لذلك يحصل على تصعيد امتياز الاشتراك (PE)".
بعبارة أخرى ، من خلال إخراج رمز الوصول الخاص بالهوية المُدارة المعينة لتطبيق Azure Function إلى خادم بعيد ، يمكن لممثل التهديد رفع الامتيازات ، والتحرك بشكل جانبي ، والوصول إلى موارد جديدة ، وتنفيذ غلاف عكسي على الأجهزة الافتراضية.
وأوضح نيسيمي أنه "من خلال تجاوز ملفات الوظائف في حسابات التخزين ، يمكن للمهاجم سرقة هوية ذات امتيازات أعلى والتسلل إليها واستخدامها للتنقل بشكل جانبي ، واستغلال مجوهرات التاج الأكثر قيمة للضحايا وتعريضها للخطر".
كعوامل تخفيف ، يوصى بأن تفكر المؤسسات في تعطيل مصادقة Azure Shared Key واستخدام مصادقة Azure Active Directory بدلاً من ذلك. في إفصاح منسق ، قالت Microsoft إنها "تخطط لتحديث كيفية عمل أدوات عميل الوظائف مع حسابات التخزين."
"يتضمن هذا تغييرات لدعم السيناريوهات بشكل أفضل باستخدام الهوية. بعد توفر الاتصالات المستندة إلى الهوية لـ AzureWebJobsStorage بشكل عام والتحقق من صحة التجارب الجديدة ، ستصبح الهوية هي الوضع الافتراضي لـ AzureWebJobsStorage ، والذي يهدف إلى الابتعاد عن ترخيص المفتاح المشترك ،" وأضاف عملاق التكنولوجيا كذلك.
وصلت النتائج بعد أسابيع من تصحيح Microsoft لمشكلة تكوين خاطئة تؤثر على Azure Active Directory والتي جعلت من الممكن التلاعب بنتائج بحث Bing وثغرة XSS المنعكسة في Azure Service Fabric Explorer (SFX) والتي قد تؤدي إلى تنفيذ تعليمات برمجية عن بُعد غير مصادق.