Nächste Azure Container-Schwachstelle ermöglichte Datenklau

[English]Microsoft hat seine Azure-Kunden in einer Warnung über eine Sicherheitslücke informiert, die Hackern den Zugriff auf Daten ermöglicht haben könnte. Die Pointe: Es handelte sich um Container, deren Code eine bekannte Schwachstelle aufwies, die nicht gepatcht worden war. Microsoft hat nun die Programme aktualisiert. Das ist jetzt der zweite Fall binnen weniger Tage, wo gravierende Schwachstellen in Azure-Containern öffentlich wurden. Momentan fühle ich mich etwas wie bei der "Los Wochos"-Aktion eines Burgerbräters, wo es einige Zeit um ein bestimmtes Thema geht.


Anzeige

Ich kann mir ja nicht helfen, ich sitze hier und lache mir ins Fäustchen – aber diese Steilvorlage konnte ich mir nicht entgehen lassen. On-Premises war gestern, "wir machen jetzt in der Cloud rum", ist ja bei vielen Firmen bzw. deren Management, die Devise. Skalierbar, die Administration und das Patchen wird vom Cloud-Provider übernommen, und das Administratoren-Viech, welches "wir" für unsere On-Premises Lösungen gebraucht haben, können wir uns sparen – so die Argumentation im Management – zumindest mein Eindruck. Als ich dann für den heutigen Beitrag im Blog nachgeschaut habe, dämmerte die Erkenntnis, dass den Leuten in der Cloud die gleichen oder ähnlich Probleme wie bei On-Premises-Lösungen auf die Füße regnen (siehe Links am Artikelende). Erst Ende August hatte ich im Blog-Beitrag Azure: Tausende Kunden von ChaosDB-Schwachstelle in Azure Cosmos DB bedroht über eine gravierende Schwachstelle im Azure-Umfeld berichtet. Jetzt folgt die nächste Sicherheitsmeldung zu Microsofts Azure.

Microsoft warnt Azure-Kunden vor neuer Schwachstelle

Das Unternehmen warnt Kunden vor einer neuen Schwachstelle, die einen Datendiebstahl ermöglicht hätte. Kürzlich hat Microsoft eine Schwachstelle in Azure Container Instances (ACI) behoben, die Benutzern ermöglichte, auf die Informationen anderer Kunden im ACI-Dienst zuzugreifen. Diese Schwachstelle wurde Microsoft von einem Sicherheitsforscher gemeldet.

Das Sicherheitsteam bemüht sich zwar um Entwarnung und schreibt, dass die interne Untersuchung ergab, dass es keinen unbefugten Zugriff auf Kundendaten gegeben habe. Sicherheitsforscher Kevin Beaumont bringt es aber in folgendem Tweet auf den Punkt: Das Azure-Sicherheitsmodel basiert auf dem Prinzip Hoffnung, dass Sicherheitsforscher die Schwachstellen auch melden.

Microsoft gibt an, dass man aus Vorsicht wir Kunden mit Containern, die auf denselben Clustern wie die der Sicherheitsforscher laufen, über Service Health Notifications im Azure-Portal über dies Schwachstelle benachrichtigt. Wer keine Benachrichtigung erhalten hat, braucht keine Maßnahmen in Bezug auf diese Schwachstelle durchzuführen. In diesem Artikel gibt Microsoft Hinweise, was betroffenen Kunden tun sollen.

Palo Alto entdeckt Schwachstelle

Sicherheitsforscher Ariel Zelivansk von Palo-Alto war auf die Schwachstelle gestoßen und hat gegenüber Reuters etwas mehr über diesen Sachverhalt herausgelassen (Microsoft blieb auf Nachfrage von Reuters Antworten schuldig). Der Sicherheitsforscher sagte Reuters, dass es seinem Team gelungen sei, das Azure-System für Container, in denen Programme für Benutzer gespeichert werden, zu knacken.

Die betroffenen Azure-Container verwendeten Code, der eine bekannte Schwachstelle enthielt, und Microsoft hat es versäumt, diesen Code in den Azure-Container zu aktualisieren, um diese Schwachstelle zu beheben. Infolgedessen konnte das Palo-Alto-Team schließlich die volle Kontrolle über einen Cluster erlangen, der Container von anderen Nutzern enthielt.


Anzeige

Da ist der Elefant im Raum: Wir migrieren in die Cloud, da übernimmt der Cloud-Anbieter das Patchen. Falls der Cloud-Anbieter patzt, siehst Du halt alt aus, aber auch egal, das machen jetzt halt alle so. Zur Ehrenrettung muss man sagen, nach dem dezenten Hinweis von Palo-Alto hat Microsoft gepatcht. Kevin Beaumont hat es in obigem Tweet mit einem Textausriss des Reuters-Artikels und einem Bildchen auf den Punkt gebracht – mehr ist dazu nicht zu sagen. Bei Bedarf lest ihr die Details in den verlinkten Beiträgen von Microsoft und Reuters nach.

Details von Palo Alto

Ergänzung: Von Palo Alto liegt mir eine Mail vor, die noch einige Informationen zum Thema enthält. Dazu heißt es, Unit 42, das Threat Intelligence-Team von Palo Alto Networks, habe die erste bekannte Schwachstelle aufgedeckt, die es einem Nutzer eines Public-Cloud-Dienstes ermöglichen könnte, aus seiner Umgebung auszubrechen und Code in Umgebungen anderer Nutzer desselben Public-Cloud-Dienstes auszuführen.

  • Palo Alto Networks hat die Schwachstelle Azurescape genannt, weil die Ausbruchsmethode in Microsofts Azure Container-as-a-Service (CaaS) Plattform entdeckt wurde.
  • Diese Art der account-übergreifenden Übernahme (Cross-Account Takeover) stellt einen neuen Angriffsvektor dar, den Hacker nutzen können, um Cloud-Dienste anzugreifen. Palo Alto Networks erwartet, dass weitere Schwachstellen entdeckt werden, die eine kontoübergreifende Übernahme ermöglichen.
  • IT-Security-Forscher Yuval Avrahami entdeckte die Schwachstelle, meldete sie an Microsoft, wo sie nun behoben wurde. Er erhielt von Microsoft zwei Bug Bounty Awards für Entdeckungen im Zusammenhang mit Azurescape.

Der Azurescape-Angriff geht von einem Container-Escape aus – einer Technik, die eine Privilegienerweiterung aus Container-Umgebungen heraus ermöglicht. Azurescape ermöglicht es einem ACI-Benutzer, administrative Rechte für einen ganzen Container-Cluster zu erlangen. Von dort aus könnte der Benutzer die betroffenen mandantenfähigen Cluster übernehmen, um bösartigen Code auszuführen, Daten zu stehlen oder die zugrundeliegende Infrastruktur anderer Kunden zu sabotieren. Der Angreifer könnte die vollständige Kontrolle über Azure-Server erlangen, die Container anderer Kunden hosten, und auf alle in diesen Umgebungen gespeicherten Daten und Geheimnisse zugreifen.

Microsoft hat schnell gehandelt, um die zugrundeliegenden Probleme zu beheben, sobald Unit 42 sie dem Microsoft Security Response Center (MSRC) gemeldet hatten. Unit 42 sind keine Azurescape-Angriffe in freier Wildbahn bekannt. Es ist dennoch möglich, dass ein böswilliger Benutzer der Azure Container Instances (ACI)-Plattform die Schwachstelle ausgenutzt hat, um Code auf den Containern anderer Kunden auszuführen, ohne dass diese zuvor Zugriff auf ihre Umgebung hatten.

Alle Details zu der Schwachstelle und ihren Auswirkungen sind in diesem Blog beschrieben. Eine detailliertere technische Analyse findet sich im Blog von Unit 42.

Was Azurescape über die Cloud-Sicherheit verrät

Public Clouds beruhen auf einem Konzept, das als Multitenancy bekannt ist. Cloud-Serviceprovider bauen Umgebungen auf, die mehrere Unternehmenskunden (oder „Tenants"/„Mieter") auf einer einzigen Plattform beherbergen. Sie bieten jedem einen sicheren Zugang, während sie durch den Aufbau massiver Cloud-Infrastrukturen beispiellose Größenvorteile nutzen.

Obwohl Cloud-Anbieter viel in die Sicherung dieser mandantenfähigen Plattformen investieren, gilt es seit langem als unvermeidlich, dass unbekannte „Zero Day"-Schwachstellen existieren und Kunden dem Risiko eines Angriffs von anderen Instanzen innerhalb derselben Cloud-Infrastruktur aus aussetzen könnten.

Diese Entdeckung unterstreicht die Notwendigkeit für Cloud-Nutzer, einen „Defense-in-Depth"-Ansatz zur Sicherung ihrer Cloud-Infrastruktur zu verfolgen, der eine kontinuierliche Überwachung auf Bedrohungen – innerhalb und außerhalb der Cloud-Plattform – beinhaltet. Die Entdeckung von Azurescape unterstreicht auch die Notwendigkeit für Cloud-Serviceprovider, externen Forschern angemessenen Zugang zu gewähren, um ihre Umgebungen auf der Suche nach unbekannten Bedrohungen zu untersuchen.

FAQ zu Azurescape

Hier sind ein paar kurze Fakten darüber, wie Azurescape funktioniert und was zu tun ist, wenn Sie betroffen sind:

War ich betroffen?

Unit 42 hat keine Kenntnis davon, dass Azurescape in freier Wildbahn ausgenutzt wurde. Es ist möglich, dass die Schwachstelle bereits seit der Einführung von ACI bestand und somit einige Unternehmen betroffen waren. Azurescape betraf auch ACI-Container in Azure Virtual Networks.

ACI basiert auf mandantenfähigen Clustern, die Kundencontainer hosten. Ursprünglich waren dies Kubernetes-Cluster, aber im letzten Jahr hat Microsoft damit begonnen, ACI auch auf Service-Fabric-Clustern zu hosten. Azurescape betrifft nur ACI auf Kubernetes. Unit 42 ist keine Möglichkeit bekannt, zu überprüfen, ob ein früherer ACI-Container auf Kubernetes lief.

Wenn Sie einen bestehenden Container haben, können Sie den folgenden Befehl ausführen, um zu prüfen, ob er auf Kubernetes läuft:

az container exec -n <container-name> –exec-command "hostname"

Wenn der Output mit wk-caas beginnt und der Container vor dem 31. August 2021 in Betrieb genommen wurde, könnte er von Azurescape angegriffen worden sein.

Was sollte ich tun, wenn ich glaube, dass ich betroffen bin?

Wenn Sie privilegierte Zugangsdaten auf der Plattform bereitgestellt haben, empfiehlt Unit 42, diese zu rotieren und die Zugriffsprotokolle auf verdächtige Aktivitäten zu überprüfen. Eine cloudbasierte Sicherheitsplattform wie Prisma Cloud kann diese Art von Aktivitäten sichtbar machen und gegebenenfalls Alarm schlagen.

Wie funktionieren die Angriffe?

Azurescape ist ein dreistufiger Angriff. Zunächst muss der Angreifer aus seinem ACI-Container ausbrechen. Zweitens erlangt er administrative Berechtigungen für einen mandantenfähigen Kubernetes-Cluster. Drittens kann er die Kontrolle über die betroffenen Container übernehmen, indem er bösartigen Code ausführt.

Die Forschung begann mit WhoC, einem Container-Image, das die zugrundeliegende Container-Laufzeit von Cloud-Plattformen aufdeckt. Durch WhoC entdeckten die Forscher, dass es möglich war, ACI-Container über CVE-2019-5736, eine zwei Jahre alte Schwachstelle in runC, zu umgehen. Die Forscher konnten dann zwei verschiedene Methoden identifizieren, um Codeausführung auf dem Gehirn des Clusters, dem API-Server, zu erreichen.

Mit der Codeausführung auf dem api-Server hatten die Forscher die vollständige Kontrolle über den mandantenfähigen Cluster. Sie konnten Code auf Kundencontainern ausführen, Kundengeheimnisse, die auf ACI bereitgestellt wurden, ausspähen und möglicherweise sogar die Infrastruktur der Plattform für Cryptomining missbrauchen.

Sind weitere Schwachstellen, die eine kontoübergreifende Übernahme ermöglichen, zu erwarten?

Die rasante Beschleunigung der Verlagerung in die Cloud in den letzten Jahren hat diese Plattformen zu einem bevorzugten Ziel für böswillige Akteure gemacht. Während sich Palo Alto Networks schon lange auf die Identifizierung neuer Cloud-Bedrohungen konzentriert, unterstreicht die Entdeckung der ersten kontoübergreifenden Containerübernahme die Bedeutung dieser Bemühungen. Raffinierte Angreifer geben sich möglicherweise nicht damit zufrieden, Endbenutzer ins Visier zu nehmen, sondern weiten ihre Kampagnen auf die Plattformen selbst aus, um ihre Wirkung und Reichweite zu erhöhen.

Kann ich mich auf ähnliche Schwachstellen vorbereiten, die auftreten könnten?

Cloud-Nutzer sollten einen „Defense-in-Depth"-Ansatz für die Cloud-Sicherheit verfolgen, um sicherzustellen, dass Sicherheitsverletzungen eingedämmt und entdeckt werden, unabhängig davon, ob die Bedrohung von außen oder von der Plattform selbst ausgeht. Eine Kombination aus Shift-Left-Sicherheit, Laufzeitschutz und Anomalie-Erkennung bietet die beste Chance, ähnliche kontoübergreifende Angriffe zu bekämpfen.

Ähnliche Artikel:
Azure: Tausende Kunden von ChaosDB-Schwachstelle in Azure Cosmos DB bedroht
Microsoft Azure: API-Änderungen kippen Anwendungen und PowerShell-Scripte
Warum man Azure AD Domain Services nicht als Windows AD-Ersatz verwenden sollte
Azure App Service: Java 7-Support endet am 29. Juli 2022
Azure AD Connect 2.0.10.0 als Hotfix verfügbar
Azure AD E-Mail OTP Authentication für Office 365 ab Okt. 2021
Microsoft Azure: Dringend die PowerShell wegen RCE-Schwachstelle updaten
Azure Virtual Desktop: Ein Bug blockiert WSUS-Update-Downloads (Juni 2021)
Die 10 häufigsten Bedrohungen in Azure AD und Office 365


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Azure, Cloud, Sicherheit abgelegt und mit Azure, Cloud, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Nächste Azure Container-Schwachstelle ermöglichte Datenklau

  1. Andy sagt:

    "Das Azure-Sicherheitsmodel basiert auf dem Prinzip Hoffnung, dass Sicherheitsforscher die Schwachstellen aus melden."

    Unabhängig von den fehlenden Worten, ist das eine schöne Zusammenfassung, wie Softwareentwicklung heutzutage Sicherheit integriert: als nachgelagerte Support-Aufgabe.
    Und weil bei MS Sicherheitspatches on premise nur noch zusammen mit neuen Features kommen, werden es immer mehr Sicherheitsschulden, die da auflaufen.
    Ist irgendwie nicht optimal…

    • Günter Born sagt:

      mach aus dem aus ein auch, dann passt es

    • Stephan sagt:

      "Und weil bei MS Sicherheitspatches on premise nur noch zusammen mit neuen Features kommen"

      Das verstehe ich nicht. Soweit ich weiß hat MS das Verhalten nicht angefasst. Sicherheitsupdates sind doch nach wie vor aufgeteilt in Security/Quality and den halbjährlichen Feature Updates aka H1/H2. Aber vielleicht habe ich das misverstanden. :)
      Und Office 365 zählt nicht… ^^

      Btw.

      Hybrid IT geht nicht mehr weg. Und das irgendwer glaubt Admins einzusparen halte ich für einen Mythos. Ich habe seit Jahren eher einen Ausbau der work force erlebt. Selbst in den obersten Chef Etagen großer Konzerne weiß man mittlerweile wie sensibel IT fürs tägliche Geschäft geworden ist. Im Gegenteil höre ich und sehe ich immer mehr Bedarf an Spezialwissen. Die Bandbreite des benötigten Wissens wächst, die Komplexen Zusammenhänge zu verstehen und auch die Gewohnheiten der Benutzer ändern sich auch. Heute sind Benutzer device übergreifend mindestens rudimentär Dinge zu erledigen. Im Word unterwegs auf iPad herumstochern? Kein problem… Schon allein an so einer aller welts Aufgabe wird es schwer sich den großen der Branche zu entziehen. Aktuelle Anforderungen an Bewerber im IT Bereich füllen mittlerweile noch mehr klitze kleine Zeilen auf A4 Seiten. Das war vor Jahren schon absurd und ist es heute noch. Zeigt aber auch deutlich was benötigt wird.
      Wer auch mal 5 Minuten in Azure oder MS 365 Portalen rumgeklickt hat, dürfte recht schnell verstanden haben das die Welt weit komplexer geworden ist als jemals zu vor.

      Global agierende Unternehmen mit vielen MAs die auf Reisen sind kommen sowieso nicht um das Thema herum. Die Wehklagen von VPN Nutzern denen in Nordafrika mal gerade der Traffic aus dem Handy gezogen wurde weil Patch Day ist, kennt vielleicht der ein oder Andere. Software deployment wird schon seit Jahren in MDM gepumpt damit nicht alles auf "on premise" ruht. Die Fallstricke die sich dadurch ergeben sind nicht zu verachten. Vor kurzem habe ich erlebt was es absurderweise heißt , wenn nur ein paar DNS/Domains Einträge aus dem MS Lager nicht erreichbar sind und welchen ripple effect das zum Beispiel auf Office 365 hat. ;)

      Nein…also einen Abbau werden wir nicht erleben. Eher Verlagerungen… der IT-Admin von früher der an einem Server gehockt hat und Platten streichelt wird heute eher Portale durchkneten und Cloud services und MDM gedöns bereitstellen und Nutzer anbinden um es mal vereinfacht auszudrücken. Ich persönlich bin sicher nicht das Maß der Dinge aber kenne heute schon überwiegend nur noch Server guys die Serverräume eher aus Erzählungen kennen und from top managen aber on premise gar nichts mehr anfassen. Ein eher beiläufiger Trend des ausgelagerten Helpdesks und der externen Betreuer wie sie Bechtle oder Mahr EDV anbieten, sind auch kein neueres Phänomän. Das war schon immer so… nur halt früher viel kleiner. ;)
      Und auch die suchen ständig neues Personal.

      Häufig auch durch die jahrelang aufgebaute remote Arbeit.

  2. Paul sagt:

    "Microsoft gibt an, dass man aus Vorsicht Kunden mit Containern, die auf denselben Clustern wie die der Sicherheitsforscher laufen, über Service Health Notifications im Azure-Portal über dies Schwachstelle benachrichtigt. "

    Em, müßte MS nicht allen Kunden informieren, und nicht nur die Kunden auf den Clustern der Good-Guys oder woher weiß MS, das die Bad-Guys diese Information noch nicht auch hatten?

Schreibe einen Kommentar zu Stephan Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.