ตั้งแต่เดือนกรกฎาคมเป็นต้นไป Microsoft จะเริ่มบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับผู้ที่ลงทะเบียนเข้าใช้งาน Azure ทุกคน

(more…)

นักวิจัยพบเทคนิคการขุดคริปโตที่ไม่สามารถตรวจจับได้บน Azure Automation

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พัฒนาโปรแกรมขุดคริปโตบนคลาวด์ที่ไม่สามารถตรวจจับได้เป็นรายแรก โดยใช้บริการ Azure Automation ของ Microsoft โดยไม่ต้องเสียค่าใช้จ่ายใด ๆ (more…)

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

นักวิจัยด้าน Ermetic บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐานบนระบบคลาวด์ของอิสราเอล พบช่องโหว่ระดับ Critical บน Microsoft Azure ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) เพื่อเข้าควบคุมแอปพลิเคชันเป้าหมายได้

โดย Ermetic อธิบายช่องโหว่นี้ว่าเกิดจาก CSRF (cross-site request forgery) บน Kudu ซึ่งเป็นบริการ SCM ที่ใช้อย่างแพร่หลาย แล้วทำการส่งไฟล์ ZIP ที่ฝังเพย์โหลดอันตรายไปยังแอปพลิเคชัน Azure ของเป้าหมาย โดยได้เรียกวิธีการโจมตีนี้ว่า EmojiDeploy

Kudu คือเครื่องมือที่อยู่เบื้องหลังการทำงานของ Azure App Service ที่เกี่ยวข้องกับ source control based deployment เช่นเดียวกับ Dropbox และ OneDrive sync

การโจมตี

นักวิจัยได้อธิบายขั้นตอนการโจมตี ดังนี้

Hacker โจมตีผ่านช่องโหว่ CSRF ใน Kudu SCM panel ทำให้สามารถหลีกเลี่ยงการป้องกันและส่ง request ที่สร้างขึ้นเป็นพิเศษไปที่ "/api/zipdeploy" เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย เช่น web shell และทำให้สามารถเข้าควบคุมระบบจากระยะไกลได้
ไฟล์ ZIP ที่เป็นอันตรายจะถูก encoded ในส่วนของ body ของ HTTP request เมื่อถูกเปิดขึ้นมา มันจะเรียกไปยังโดเมนที่ถูกควบคุมโดย Hacker ผ่าน web shell เพื่อหลบเลี่ยงการตรวจสอบ

การค้นพบนี้เกิดขึ้นหลังจาก Orca Security ได้เปิดเผยการโจมตี 4 ครั้งของการโจมตี server-side request forgery (SSRF) ที่ส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins หลังจากนั้น Microsoft ได้แก้ไขช่องโหว่ในวันที่ 6 ธันวาคม 2022 หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 26 ตุลาคม 2022 นอกจากนี้ Microsoft ยังได้มอบรางวัลให้แก่การรายงานช่องโหว่นี้เป็นมูลค่า 30,000 ดอลลาร์

การป้องกัน

ตรวจสอบการอนุญาตของแอปพลิเคชั่น และการกำหนดสิทธิในส่วนของการจัดการข้อมูลประจำตัว
จำกัดสิทธิ์การเข้าถึงให้น้อยที่สุดเพื่อความปลอดภัย

ที่มา : thehackernews

Orca บริษัทด้านความปลอดภัยไซเบอร์ได้ค้นพบช่องโหว่ที่เกี่ยวข้องกับบริการ Microsoft Azure โดยช่องโหว่ดังกล่าวถูกพบในช่วงระหว่างวันที่ 8 ตุลาคม 2022 ถึง 2 ธันวาคม 2022 ซึ่งส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins me ซึ่งทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และเข้าถึงข้อมูลบนเครื่องปลายทางได้

โดยปัจจุบันทาง Microsoft ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่เรียบร้อยแล้ว

ช่องโหว่บนบริการ Microsoft Azure มีดังนี้

ช่องโหว่ Unauthenticated SSRF บน Azure Digital Twins Explore โดยช่องโหว่อยู่ใน /proxy/blob endpoint ทำให้มีความเสี่ยงถูกโจมตีเพื่อรับ response จากบริการใดๆก็ตามที่ต่อท้ายด้วย "blob.

Azure Cognitive Search (ACS) เป็น full-text search engine service ของ Azure โดยนักวิจัยจาก mnemonic พบช่องโหว่ในฟีเจอร์ใหม่ของหน้า ACS portal ที่ทำให้สามารถ search ข้อมูลจาก portal ได้โดยตรง โดยไม่ผ่าน Network firewall ของ ACS instance

การทำงานของฟีเจอร์ 'Allow access from Portal' จะใช้การ Whitelist portal proxy แทนที่จะเป็น IP แล้วให้ตัว portal proxy ทำการ authentication โดยใช้ Access token แต่ว่าไม่มีการตรวจสอบว่า Access token นั้นมาจาก tenant ไหน จึงทำให้ Private ACS instance สามารถถูกเข้าถึงได้จาก tenant ไหนก็ได้ขอแค่มีการเปิดใช้งานฟีเจอร์ 'Allow access from Portal'

วิธีการแก้ไข

Microsoft ได้ทำการแก้ไขช่องโหว่โดยการลบฟีเจอร์ 'Allow access from Portal' ออก และใช้การ Whitelist IP แทนการใช้ portal proxy เรียบร้อยแล้ว

ที่มา : mnemonic

สรุปรายละเอียดของช่องโหว่

Privilege escape เป็นสิทธ์ Root ได้ใน container
Container มีสิทธ์ CAP_SYS_ADMIN ซึ่งไม่เป็นไปตาม best practice จึงทำให้สามารถเข้าถึงเครื่อง Host ได้
Host เป็น single-tenant จึงทำให้สามารถเข้าถึงได้แค่ container ใน tenant

Escalating Privileges

นักวิจัยจาก Unit42 พบว่าใน container ของ Azure function จะมี service "init" ที่สามารถ Mount disk ใน container ได้ แต่ว่าตัว service มีช่องโหว่เรื่องการ validate input นักวิจัยจึงใช้ช่องโหว่นี้สร้าง shadow ไฟล์ขึ้นมาโดยใช้ password ของตัวเองแล้ว mount ไปที่ /etc/shadow ทำให้สามารถเปลี่ยน user เป็น root ได้โดยใช้ password ที่ถูกสร้างขึ้นมาใหม่

Escape to Host

เนื่องจาก container ของ Azure function มีการกำหนดสิทธิ์ Linux Capabilities มาไม่ได้ตามมาตรฐาน (Best Practice) ทำให้มีสิทธิ์หลายอย่างเข้าเงื่อนไขของ Container escape technique ที่ชื่อว่า "notify_on_release escape" ดังนี้

มีสิทธ์ root
มี SYS_ADMIN capability
สามารถใช้ mount syscall
container ต้องอ่าน และเขียน cgroup v1 virtual filesystem ได้

หลังจากที่นักวิจัยเข้าถึงเครื่อง Host ได้แล้ว พบว่าเครื่อง Host เป็น HyperV ที่จะถูกใช้งานแค่ tenant เดียว จึงทำให้ไม่มีความเสียงที่จะเข้าถึง Container ที่อยู่ใน tenant อื่นได้ นอกเหนือว่าจะมีช่องโหว่ที่ตัว HyperV นักวิจัยจึงหยุดการทดสอบ และรายงานช่องโหว่ไปที่ Microsoft

วิธีการแก้ไข 

Microsoft ได้ patch service ที่ใช้ในการ mount โดยเพิ่มการ Validate Input โดยที่ลูกค้าไม่ต้องดำเนินการใด ๆ เพิ่มเติม

ที่มา : unit42

นักวิจัยจาก Orca security พบว่า Cosmos DB Notebook endpoint ไม่มีการตรวจสอบ Authorization Header ทำให้ใครก็ตามทีรู้ session id สามารถเขียน หรืออ่านไฟล์ที่อยู่ใน Jupyter notebook container ได้

นักวิจัยจึงสามารถ overwrite kernelspec.

Tzah Pahima นักวิจัยจาก Orca พบช่องโหว่ Remote Code Execution (RCE) ระดับ Critical บน Azure Synapse Analytics ที่ทำให้ผู้โจมตีสามารถเข้าถึง tenant ของผู้ใช้งานรายอื่นได้ และอื่นๆดังนี้

สามารถขโมย credentials จาก Azure Synapse จาก accounts ของผู้ใช้งานรายอื่น
สามารถเข้าควบคุม Azure Synapse workspaces ได้
สั่งรันโค้ดที่เป็นอันตรายบนเครื่องของผู้ใช้งานรายอื่นภายใน Azure Synapse Analytics service
สามารถขโมย credentials external data sources ของผู้ใช้งานรายอื่น

Azure Synapse Analytics คืออะไร

Azure Synapse Analytics ทำหน้าที่ import และประมวลผลข้อมูลจาก data sources ของผู้ใช้งานเช่น CosmosDB, Azure Data Lake, หรือ external sources Amazon S3 แต่ละ Synapse instance จะถูกเรียกว่า workspace เพื่อที่จะ import data จาก external data source ผู้ใช้งานต้องใส่ credentials และเชือมต่อไปที่ data source ผ่าน Integration Runtimes (เครื่องที่ทำหน้าเชือมต่อ data sources จากหลายๆที่) Integration Runtimes สามารถใช้เป็น self-hosted (on-premise) หรือ hosted บน Azure cloud (Azure Integration Runtimes) ก็ได้

ช่องโหว่ Remote Code Execution (RCE)

ในเครื่อง integration runtimes (self-hosted) นักวิจัยพบช่องโหว่ shell injection RCE (CVE-2022-29972) ใน Magnitude Simba Redshift ODBC connector ที่ถูกใช้โดย Microsoft
โดยที่ shell injection นั้นถูกพบใน SAML authentication plugin ของ connector ซึ่ง code ในส่วนที่มีช่องโหวทำหน้าที่ไว้เปิด browser แต่ผู้โจมตีสามารถ inject shell command ลงไปได้

รวมถึงยังพบช่องโหว่ที่คล้ายกันใน Magnitude Simba:

Amazon Athena ODBC Driver (CVE-2022-29971)
Amazon Redshift JDBC Driver (CVE-2022-30240)
Amazon Athena JDBC Driver (CVE-2022-30239)

การเจาะเข้าเครื่อง shared integration runtime

integration runtime ที่ host บน azure (Azure IR) โดยไม่มี Managed Virtual Network จะเป็นเครื่องที่ถูก share กับผู้ใช้งานหลายราย นักวิจัยพบว่าช่องโหว่ RCE ที่พบบนเครื่อง self-hosted ก็สามารถใช้ได้กับ Azure IR และ Permission ที่ใช้ Run app ก็ได้สิทธิ์เป็น Authority\SYSTEM

หลังจากที่นักวิจัยสามารถเข้าควมคุมเครื่อง Azure IR ได้แล้วยังพบว่าภายในเครื่องยังมี client certificate ที่ใช้ authentication เข้า internal management server ได้อีกด้วย
management server API สามารถ query integration runtimes และ workspace อื่นๆ ที่เป็นของผู้ใช้งานรายอื่น ทำให้นักวิจัยสามารถจะทำอะไรก็ได้กับ workspace ของผู้ใช้งานรวมถึงใช้ช่องโหว่ remote เข้าไปยัง integration runtime ของผู้ใช้งานรายอื่น

วิธีแก้ไข:

สำหรับลูกค้าที่ใช้ Azure Integration Runtime (Cloud) หรือ self-hosted แล้วเปิด auto-updates ไว้แล้ว ไม่ต้องดำเนินการใดๆ
หากยังไม่ได้อัปเดตแนะนำให้อัปเดต Self-hosted Integration Runtimes (SHIRs) เป็น version 5.17.8154.2

ที่มา : orca.