Foram os investigadores da CheckPoint que publicaram detalhes técnicos sobre duas falhas no Microsoft Azure que podiam permitir que qualquer atacante tomasse o controlo dos servidores na cloud.
O Azure é um serviço que essencialmente permite aos utilizadores construírem ou hospedarem, entre outros produtos, aplicações web, sem terem de gerir a infraestrutura. Também permite lançamentos automatizados a partir do Github, Azure DevOps ou qualquer outro repositório Git.
Falhas encontradas:
A primeira, dada pelo CVE-2019-1234, era um problema de spoofing do pedido, que afetava a solução de software para a computação em nuvem do Microsoft Azure Stack. O que acontecia é que havia uma validação imprópria de certos pedidos; e se um atacante conseguisse explorar esta falha fazendo pedidos especialmente modificados, acedia aos serviços internos da Stack do Azure e, consequentemente, aceder a qualquer máquina virtual que estivesse nessa infraestrutura.
Também existe uma ferramenta que vem instalada na máquina que controla o layer da Infraestrutura, o chamado Service Fabric Explorer, e que por aí se podia aceder a serviços internos sem autenticação. Por esta razão, conseguindo saber o nome da máquina e o ID através da API, os atacantes podiam fazer pedidos HTTP específicos e fazer download de screenshots.
A segunda falha, dada pelo CVE-2019-1372, consistia na possibilidade de execução de código remota; era mais grave, porque se devidamente explorada podia permitir que o atacante assumisse o controlo de todo o servidor do Azure e, dessa forma, aceder ao código das empresas que lá estivessem. A vulnerabilidade residia no serviço responsável por gerir e correr as apps e os processos do IIS worker. Aqui o problema já residia na falta de verificação do tamanho do buffer antes de copiar a memória para lá, o que significa que enviando uma mensagem específica para esse serviço podia fazer com que a mesma excedesse a dimensão do buffer. Nesse patamar, o atacante podia correr comandos como administrador do sistema.
As falhas foram entretanto corrigidas
Mais informações no blogue da CheckPoint: https://research.checkpoint.com/2020/remote-cloud-execution-critical-vulnerabilities-in-azure-cloud-infrastructure-part-i/