这是一场云安全恶梦:Azure 漏洞会让黑客接管云服务器
以色列网络安全公司Check Point的网络安全研究人员近日披露了微软Azure服务中两个最近被修复的可能很危险的漏洞的详细信息:这些漏洞一旦被钻空子,黑客可以攻击在Azure上运行Web和移动应用程序的公司企业。
Azure App Service是一项完全托管的集成服务,让用户能够为任何平台或设备创建Web和移动应用程序,并将它们与SaaS解决方案和本地应用程序轻松集成起来、使业务流程实现自动化。
据研究人员向知名网站The Hacker News出示的一份安全报告显示,第一个安全漏洞(CVE-2019-1234)是一个服务器端请求欺骗漏洞,该漏洞影响了微软的混合云计算软件解决方案Azure Stack。
一旦被钻空子,该漏洞将使远程黑客能够未经授权即可访问在Azure基础架构上运行的任何虚拟机的屏幕截图和敏感信息——至于是在共享的虚拟机、专用的虚拟机还是隔离的虚拟机上运行,并不重要。
据研究人员声称,该漏洞可以通过微软Azure Stack Portal来钻空子,用户通过该界面来访问使用Azure Stack创建的云。
通过使用一个未经身份验证的内部API,研究人员找到了一种方法,以获取虚拟机名称和ID、硬件信息(比如目标机器的核心和总内存),然后结合使用另一个未经身份验证的HTTP请求以获取屏幕截图,如图所示。
微软Azure屏幕截图
这个漏洞只影响Azure Stack,这也是一条“很有效的攻击途径”,Check Point的安全研究主管Yaniv Balmas说。“实际上,如果某人拥有庞大的Azure Stack环境,且有诸多租户,我就能获取其他机器的屏幕截图。这可能很危险,也可能不危险,得看情况。”
而第二个漏洞(CVE-2019-1372)是一个远程代码执行漏洞,该漏洞影响了Azure Stack上的Azure App Service,这将使黑客能够全面控制整个Azure服务器,进而全面控制一家企业的商业代码。Azure App Service让用户可以使用一种他们选择的编程语言,构建和托管Web应用程序、移动后端程序以及充分利用REST(restful)的API,无需管理基础架构。
更值得关注的是,攻击者可以同时钻这两个漏洞的空子,只需在Azure Cloud创建一个免费用户帐户,并在Azure Cloud上运行恶意函数,或者将未经身份验证的HTTP请求发送到Azure Stack用户门户网站。
Check Point发布了介绍第二个漏洞的详细技术文章,但简而言之,该漏洞存在于动态 WAS服务(DWASSVC)中,这项服务负责管理和运行租户的应用程序和IIS worker进程,而这些进程实际上运行租户的应用程序,并为指定的任务彼此联系。
由于Azure Stack未检查缓冲区的长度就将内存内容复制到缓冲区,攻击者就可以钻该漏洞的空子:只要向DWASSVC服务发送特别创建的消息,让DWASSVC服务能够以最高的NT AUTHORITY / SYSTEM权限在服务器上执行恶意代码。
设计人员说:“那么,攻击者如何才能向DWASSVC(DWASInterop.dll)发送消息?按照设计,运行C# Azure函数时,它在worker进程(w3wp.exe)的上下文中运行。”
“这让攻击者有可能枚举目前打开的句柄(handle)。这样一来,攻击者就可以找到已经打开的命名管道句柄,并发送特别创建的消息。”
Balmas说:“这让人可以全面了解在同一个服务器上运行的每个工作负载。我可以改动,可以删除,可以为所欲为。”
Check Point在博文中仅使用第二个漏洞就演示了如何可以钻该漏洞的空子让DWASSVC崩溃,不过也可以利用该漏洞以提升权限。
Check Point的研究人员Ronen Shustin发现了这两个漏洞,去年他负责任地向微软报告了这些漏洞,防止黑客造成严重破坏和混乱。Shustin在博文中说,研究团队当初开始研究Azure基础架构,是为了反驳“云基础架构很安全”这一观念。
Balmas说:“这是云安全领域的一场恶梦。这动摇了云安全概念。你防止不了,你保护不了自己。唯一能防止、能保护的是云提供商。”
在去年年底给这两个漏洞打上补丁之后,微软按照其Azure漏洞悬赏计划对Shustin奖励了40000美元。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
强大的 Python 任务自动化工具!invoke 十分钟入门指南
接着前面的《tox 教程》,以及刚翻译好的《nox文档》,我们继续聊聊 Python 任务自动化的话题。 nox 的作者在去年的 Pycon US 上,做了一场题为《Break the Cycle: Three excellent Python tools to automate repetitive tasks》的分享(B站观看地址:https://b23.tv/av86640235),她介绍了三个任务自动化工具:tox、nox 和 invoke,本文的话题正好就是最后的 invoke。 1、invoke 可以做什么? invoke 是从著名的远程部署工具 Fabric 中分离出来的,它与 paramiko 一起是 Fabric 的两大最核心的基础组件。 除了作为命令行工具,它专注于“任务执行”(task execution),可以标注和组织任务,并通过 CLI(command-line interface,即命令行界面) 和 shell 命令来执行任务。 同样是任务自动化工具,invoke 与我们之前介绍过的 tox/nox 在侧重点上有所不同: tox/nox 主要是在打包、测试...
- 下一篇
2020年的5个云计算发展趋势
云计算的命运几乎已被决定:它不可能随处可见,而很多企业可以依靠云计算提供商来长期托管工作负载。 随着云计算供应商将注意力转向跨行业的定制解决方案,云计算技术正变得越来越专业。与建筑业或零售业的需求相比,充斥着监管措施的金融服务业采用云计算的需求更为严格。 越来越多的供应商提供云计算服务,以响应客户的需求以与其他提供商集成或减轻安全负担。 2020年云计算市场竞争更加激烈,更多的大客户签署长期协议,以及更多的云计算供应商致力了解企业实际采用云计算的现实。 以下是2020年需要关注的五种云计算发展趋势: 1. 混合云是主要战略,采用这种战略的企业正在倍增 多年来,业界一直在谈论基础设施即服务和云计算的发展,随着AWS公司竞争对手的云计算解决方案逐渐成熟,这种讨论愈演愈烈。 然而,根据调研机构Forrester公司的研究,只有五分之一的企业应用程序运行在云中。 而人们将企业迁移工作负载比较缓慢归因于许多因素:遗留的IT投资、提升和转移战略的支点或企业收购缓慢。 随着对云应用的新期望,很多企业正在优先考虑混合和多云选项,并利用来自多个供应商的私有和公共云解决方案。调研机构Rightscale公...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装Docker,最新的服务器搭配容器使用
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- 设置Eclipse缩进为4个空格,增强代码规范
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Hadoop3单机部署,实现最简伪集群
- CentOS7,CentOS8安装Elasticsearch6.8.6