Una nuova vulnerabilità critica di esecuzione di codice remoto (in inglese Remote Control Execution, RCE) scoperto che ha un impatto su più servizi relativi a Microsoft Azure potrebbe essere sfruttato da un attore malintenzionato per assumere il controllo completo di un’applicazione.
Da segnalare che non è la prima volta che questo servizio è al centro di uno “scandalo” relativo ad un bug.
“La vulnerabilità si ottiene tramite CSRF (cross-site request forgery) sull’onnipresente servizio SCM Kudu“, ha affermato il ricercatore di Ermetic Liv Matan in un rapporto. “Abusando della vulnerabilità, gli aggressori possono distribuire file ZIP dannosi contenenti un payload nell’applicazione Azure della vittima.”
La società israeliana di sicurezza dell’infrastruttura cloud, che ha soprannominato il difetto EmojiDeploy, ha detto che potrebbe consentire ulteriormente il furto di dati sensibili e il movimento laterale verso altri servizi Azure di Microsoft.
Ma niente panico! La vulnerabilità di Microsoft Azure è stata risolta per tempo
Da allora Microsoft ha risolto la vulnerabilità a partire dal 6 dicembre 2022, in seguito alla divulgazione responsabile il 26 ottobre 2022, oltre ad assegnare una taglia di $ 30.000 per chi “catturasse” il bug (sì, esistono cacciatori di taglie specializzati anche in questo…).
Il produttore di Windows descrive Kudu come il “motore alla base di una serie di funzionalità nel servizio app di Azure relative alla distribuzione, basata sul controllo del codice sorgente e ad altri metodi di distribuzione come [ad esempio] Dropbox e la sincronizzazione di OneDrive“.
In un’ipotetica serie di attacchi hacker teorizzata da Ermetic, un avversario potrebbe sfruttare la vulnerabilità CSRF nel pannello Kudu SCM per sconfiggere le misure di sicurezza messe in atto per contrastare gli attacchi da diverse fonti (cross-origin) inviando una richiesta appositamente predisposta all’endpoint “/api/zipdeploy” per consegnare un archivio dannoso (ad es. Web shell, ma anche ZIP e RAR sono archivi per capirci) e ottenere l’accesso da remoto.
La contraffazione di richieste cross-site (da diversi siti), nota anche come sea surf o session riding, è un vettore di attacco in base al quale un malintenzionato inganna un utente autenticato di un’applicazione Web affinché esegua senza rendersene conto comandi non autorizzati.
Il file ZIP, da parte sua, è codificato nel corpo della richiesta HTTP, spingendo la vittima (tramite l’applicazione, per l’appunto) a navigare verso un dominio sotto il controllo del malintenzionato di turno, che ospita il malware tramite il bypass dell’origine stessa (same origin policy) del server.
“L’impatto della vulnerabilità sull’organizzazione nel suo insieme dipende dalle autorizzazioni [e] dell’identità gestita dalle applicazioni“, ha affermato la società. “L’applicazione efficace del principio del privilegio minimo [autorizzazioni] può limitare in modo significativo il raggio dell’esplosione“.
I risultati arrivano pochi giorni dopo che Orca Security ha rivelato quattro istanze di attacchi SSRF (server-side request forgery) che hanno avuto un impatto su Gestione API di Azure, Funzioni di Azure, Azure Machine Learning e Azure Digital Twins.
Uso Microsoft Azure regolarmente, devo preoccuparmi?
Come detto assolutamente no!
Come avrai notato, molto spesso la risoluzione di questi bug, o per meglio dire la notizia della risoluzione dei bug appare spesso tempo dopo la risoluzione effettiva, proprio per non allarmare gli utenti.
In ogni caso no, puoi continuare ad usare Microsoft Azure senza problemi non c’è alcun pericolo.
Se in caso non sapessi cos’è Microsoft Azure, puoi consultare questo link per farti un’idea, ma in breve è una piattaforma di cloud computing.
