Lỗ hổng "By-Design" mới được phát hiện trong Microsoft Azure có thể làm lộ tài khoản lưu trữ cho tin tặc

"Có thể lạm dụng và tận dụng Tài khoản lưu trữ của Microsoft bằng cách thao túng Chức năng Azure để đánh cắp mã thông báo truy cập có đặc quyền cao hơn, di chuyển ngang, có khả năng truy cập thiết bị quan trọng và thực thi mã từ xa (RCE)", Orca cho biết trong một báo cáo mới được chia sẻ với Bản tin Hacker.

Đường dẫn khai thác làm nền tảng cho cuộc tấn công này là một phương pháp xác thực có tên là ủy quyền Khóa dùng chung (Shared Key), được mở theo mặc định trên các tài khoản lưu trữ.

Theo Microsoft, Azure tạo hai khóa truy cập tài khoản lưu trữ 512 bit khi tạo tài khoản lưu trữ. Các khóa này có thể được sử dụng để cấp quyền truy cập vào dữ liệu thông qua ủy quyền Khóa dùng chung (Shared Key) hoặc thông qua mã thông báo SAS được ký bằng khóa dùng chung  (shared key).

"Khóa truy cập tài khoản lưu trữ cung cấp quyền truy cập đầy đủ vào cấu hình của tài khoản lưu trữ cũng như dữ liệu", Microsoft lưu ý trong tài liệu của mình. "Quyền truy cập vào khóa được chia sẻ cấp cho người dùng toàn quyền truy cập vào cấu hình và dữ liệu của tài khoản lưu trữ."

Công ty bảo mật đám mây cho biết các mã thông báo truy cập này có thể bị đánh cắp bằng cách thao túng Chức năng Azure, có khả năng cho phép tác nhân đe dọa có quyền truy cập vào tài khoản với vai trò Người đóng góp tài khoản lưu trữ để gia tăng đặc quyền và xâm nhập vào hệ thống.

Cụ thể, nếu một danh tính được quản lý được sử dụng để tạo ứng dụng Chức năng, nó có thể bị lạm dụng để thực hiện bất kỳ lệnh nào. Điều này có thể thực hiện được do tài khoản lưu trữ chuyên dụng được tạo khi triển khai ứng dụng Chức năng Azure.

Roi Nisimi, nhà nghiên cứu của Orca cho biết: “Khi kẻ tấn công xác định được tài khoản lưu trữ của ứng dụng Chức năng được gắn với danh tính được quản lý mạnh, kẻ tấn công có thể thay ứng dụng đó chạy mã và kết quả là nâng cao đặc quyền đăng ký (PE)”.

Nói cách khác, bằng cách trích xuất mã thông báo truy cập của danh tính được quản lý đã chỉ định của ứng dụng Chức năng Azure cho một máy chủ từ xa, tác nhân đe dọa có thể nâng cao đặc quyền, di chuyển ngang, truy cập thiết bị mới và thực thi shell đảo ngược trên máy ảo.

Nisimi giải thích: “Bằng cách ghi đè các tệp chức năng trong tài khoản lưu trữ, kẻ tấn công có thể đánh cắp và lấy cắp danh tính có đặc quyền cao hơn và sử dụng nó để di chuyển ngang, khai thác và xâm phạm những dữ liệu quan trọng nhất của nạn nhân”.

Để giảm thiểu, các tổ chức nên xem xét việc tắt ủy quyền Khóa dùng chung (Shared Key) Azure và thay vào đó sử dụng xác thực Azure Active Directory. Trong một tiết lộ về chức năng phối hợp, Microsoft cho biết họ "có kế hoạch cập nhật cách các công cụ máy khách của Chức năng hoạt động với các tài khoản lưu trữ."

"Điều này bao gồm các thay đổi đối với các kịch bản hỗ trợ tốt hơn bằng cách sử dụng danh tính. Sau khi các kết nối dựa trên danh tính cho AzureWebJobsStorage thường khả dụng và trải nghiệm mới được xác thực, danh tính sẽ trở thành chế độ mặc định cho AzureWebJobsStorage, chế độ này nhằm loại bỏ ủy quyền khóa dùng chung (shared key)," công ty công nghệ khổng lồ nói thêm.

Các phát hiện được đưa ra vài tuần sau khi Microsoft vá một sự cố cấu hình sai ảnh hưởng đến Azure Active Directory khiến nó có thể giả mạo kết quả tìm kiếm Bing và lỗ hổng XSS được phản ánh trong Azure Service Fabric Explorer (SFX) có thể dẫn đến thực thi mã từ xa không được xác thực.