Forscher teilen technische Feinheiten des Azure-Fehlers

BLACK HAT EUROPE 2021 – LONDON – Forscher, die heute eine schwerwiegende Schwachstelle in dieser Microsoft Azure Cosmos DB-Datenbanklösung entdeckten, enthüllten dies volle Stärke dieser von ihnen gefundenen Fehler und zuvor nicht prestigevoll gegebene Feinheiten ihrer Untersuchung, die, wie sich herausstellte, weitaus umfangreicher war wie zuerst offenbart .

Im August 2021 enthüllte dies Wiz-Team eine kritische Schwachstelle in dieser Azure-Cloud-Plattform, die eine Remote-Kontoübernahme dieser Cosmos DB-Elektronischer Karteikasten zuteilen würde. Dieser Fehler, dieser wie ChaosDB bezeichnet wird, gab jedem Azure-Benutzer ohne Autorisierung vollen Administratorzugriff aufwärts die Cosmos DB-Instances anderer Kunden. Seine Wirkung umfasste Tausende von Unternehmen, darunter viele Fortune-500-Unternehmen.

Genauer gesagt, in dieser Microsoft-Implementierung von Jupyter Notebook, einer Open-Source-Webapplikation, die x-mal zu Gunsten von die Datenwissenschaft verwendet wird, gab es mehrere Fehler. Ein lokaler Fehler im Kontext dieser Rechteausweitung führte zu einem uneingeschränkten Netzwerkzugriff, dieser es Forschern ermöglichte, aufwärts eine breite Palette von Zertifikaten und privaten Schlüsseln zuzugreifen, die Administratorzugriff aufwärts die Cosmos DB-Konten anderer Benutzer ermöglichten.

Erschwerend kommt hinzu, dass im Kontext Cosmos DB-Konten zuvor Jupyter Notebook unbewusst aktiviert war, welches den Benutzern nicht lichtvoll wurde. Infolgedessen waren viele Kunden dieser Sicherheitsanfälligkeit unwissentlich ausgesetzt.

Wiz meldete die Ergebnisse an Microsoft, dies intrinsisch von 48 Zahlungsfrist aufschieben vereinigen Unmittelbar veröffentlichte und in einem Internet-Tagebuch-Mitgliedsbeitrag bestätigte, dass extra solche Schwachstelle keine Kundendaten von Dritten oder Sicherheitsforschern abgerufen wurden. Es schaltete sogar die Jupyter Notebook-Prozedur ab, wenn sogar vorübergehend.

Jedoch dies war nicht die ganze Vergangenheit von Durcheinander DB, sagten die Wiz-Sicherheitsforscher Sagi Tzadik und Nir Ohfeld heute in ihrem Black-Hat-Talk. Die Sicherheitsanfälligkeit ermöglichte einem nicht privilegierten Benutzer nicht nur den vollständigen, uneingeschränkten Zugriff aufwärts die Datenbanken von mehreren Tausend Azure-Kunden.

Durch Ausnutzen jeder Fehlkonfiguration in Cosmos DB und deren Verkettung konnten die Forscher viele dieser internen Cosmos DB-bezogenen Geheimnisse und Anmeldeinformationen von Microsoft abrufen. Damit konnten sie sich wie Administrator im Kontext mehr wie 100 Cosmos DB-bezogenen Management-Panels in Form von Tafelgeschirr Fabric-Instanzen oder dem Container-Orchestrierungstool zu Gunsten von Cosmos DB authentifizieren.

Jener Ergebnis sei präzedenzlos, sagt Ohfeld in einem Interview mit Dark Reading. “Keine andere Person von außen kommend von Microsoft hat solche Formgebung von administrativem Zugriff aufwärts die Magie erhalten, die die Cloud tatsächlich zum Laufen bringt.” Dies war einer dieser Gründe, fügt Tzadik hinzu, dass sie ihre vollständigen Ergebnisse solange bis jetzt nicht offenlegen – um dem Unternehmen genügend Zeit zu spendieren, dies Problem zu mildern. Manche dieser Informationen, aufwärts die sie zupacken konnten, betrafen nicht nur Cosmos DB, sondern sogar die Funktionsweise von Azure.

“Neben dieser Entgegennahme des Kontos und dieser Sabotage von Datenmaterial könnten wir sogar den Cosmos DB-Tätigkeit aufgrund dieser Sysop-Status, die wir von medial hatten, defizitär nach sich ziehen”, exemplifizieren die Forscher in einem Internet-Tagebuch-Mitgliedsbeitrag. “Die Auswirkungen des Zugriffs aufwärts die zugrunde liegenden Tafelgeschirr Fabric-Instanzen bedeuten, dass solche Sicherheitsanfälligkeit wie Neuigkeiten kaum zu verteidigen war.”

Ins Kaninchenloch möglich sein
Dasjenige Team habe zu Beginn dieser Ermittlungen noch nicht einmal nachher Schwachstellen gesucht, sagt Tzadik. Hinsichtlich dieser Popularität von Cosmos DB suchten sie zunächst nachher häufigen Fehlkonfigurationen und überprüften die Problembeseitigung, um Fehler zu wiedererkennen.

Im Zusammenhang dieser Erkundung seiner Funktionen entdeckten sie den eingebetteten Juputer Notebook-Container, dieser Terminalzugriff und die Möglichkeit bietet, mit dieser Cosmos DB-Instanz mit verschiedenen Programmiersprachen zu interagieren. Qua sie dies Jupyter-Terminal oder dies standardmäßige Python3-Notebook verwendeten, stellten sie hold, dass ihr Schlüssel wie nicht privilegierter “Kosmosuser” umgesetzt wurde. Qua sie ihren Pythonschlange-Schlüssel aufwärts Kohlenstoff# umstellten, sahen sie, dass dieser Schlüssel mit Root-Rechten umgesetzt wurde.

„Qua wir die Jupyter Notebook-Prozedur sahen, konnten wir nicht widerstehen“, sagt Ohfeld. “Wenn wir wie Angreifer vereinigen Ort sehen, an dem wir beliebigen Schlüssel umsetzen können, sollen wir vereinigen Blick darauf werfen.”

Nachdem sie in Jupyter Notebook die lokale Berechtigungsausweitung-Schwachstelle entdeckt hatten, nutzten sie ihre Root-Berechtigungen, um sich im Container umzusehen, um festzustellen, aufwärts welche Netzwerkressourcen sie zupacken konnten. Die Forscher fanden eine verkettete Liste mit verbotenen IP-Adressen, die sie lokal aufwärts dem Container löschen konnten, um vereinigen uneingeschränkten Netzwerkzugriff zu klappen.

Ihre Untersuchung wurde von dort aus fortgesetzt, während Ohfeld und Tzadik die zuvor verbotenen IP-Adressen weiter untersuchten und den Zugriff aufwärts WireServer entdeckten, dieser Aspekte virtueller Maschinen in Azure und die Erweiterungen jeder Azure-VM verwaltet. Sie diskutieren die Feinheiten in einem separaten ausführlichen technischen Lagebericht, dieser ebenfalls heute veröffentlicht wurde. Durch den Versuch, Geheimnisse aufzudecken und die Cosmos DB-Umgebung zu erkunden, konnten sie schließlich aufwärts 25 Microsoft-Zertifikate und die entsprechenden privaten Schlüssel zupacken, aufwärts die Tzadik wie den Moment hinweist, in dem sie wussten, dass sie aufwärts irgendwas Großem gestoßen waren.

„Wir dachten: Okay, dies ist interessant, mal sehen, welches passiert“, sagt er.

Während dies Team nur sechs dieser Zertifikate verwendete, konnten sie mit den verwendeten Zertifikaten den Klartext-Primärschlüssel zu Gunsten von jede in ihrem Cluster ausgeführte Cosmos DB-Instance abrufen und Kundendatenbanken ohne Autorisierung zurückholen und zudecken. Sie konnten dies Klartext-Authentifizierungstoken zu Gunsten von jede im Cluster ausgeführte Jupyter Notebook-Instanz sowie Klartext-Passwörter zu Gunsten von die Notebook-Speicherkonten dieser Kunden abrufen. Sie könnten sogar aufwärts die zugrunde liegende Unterbau von Cosmos DB zupacken, während sie aufwärts interne Azure-Speicherblobs zupacken.

“In weniger wie einer Woche aktiver Wissenschaft und durch die Verwendung von nur sechs dieser 25 Geheimnisse, die wir erhalten nach sich ziehen, vertrauen wir, dass wir weitestgehend den gesamten Tätigkeit übernehmen konnten”, schrieben die Forscher und stellten hold, dass sie die gleichen Privilegien wie die internen erhalten nach sich ziehen Redmonder, die daran gearbeitet nach sich ziehen.

Hier habe man viele Lehren gezogen, insbesondere in Bezug aufwärts die Isolation in dieser Cloud, sagt Tzadik. “Wir gingen davon aus, dass die Isolation in dieser Cloud richtig funktioniert und wir nach sich ziehen gelernt, dass dies nicht immer dieser Kasus ist.”