חוקרים חושפים בעיית אבטחה גדולה ב-Microsoft Azure
הנה מה שאנחנו יודעים
פלטפורמת הענן Azure של מיקרוסופט נושאת פגיעות אבטחה בדרגת חומרה גבוהה שעלולה לגרום לכך שארגוני קורבנות יבצעו תוכנות זדוניות בנקודות הקצה שלהם מבלי לדעת, כך הזהירו מומחים.
חוקרים מ-Vectra תיארו את הנושא בפוסט שפורסם לאחרונה בבלוג , וציינו כי הפגיעות טמונה ב-Azure Logs, כלי שבאופן אירוני – משמש למעקב אחר פעילות זדונית בסביבת ענן (בין היתר). בעוד שיומנים נשמעים כמו משהו שמנהל Azure רק קורא – ולא עורך – ישנם חלקי נתונים שעליהם יש למשתמש שליטה, כגון מזהי משתמש, כתובות דואר אלקטרוני, נושאי הודעות וכדומה.
על ידי הזרקת נתונים זדוניים ללוגים, האפליקציות המעבדות אותו עלולות להיות מונות להפעיל תוכנות זדוניות, טוענים החוקרים.
הזרקת CSV
"לדוגמה, אפשר לשלוח כתובת אימייל מזויפת המכילה מטען XSS (Cross-Site Scripting) בטופס הרשמה לחשבון", נכתב במחקר. "ומנהל האפליקציה שפותח את היומן הזה בדפדפן עלול להפוך לקורבן של התקפת XSS."
אבל יש דרך נוספת להפיל תוכנות זדוניות על מכשירים של אנשים – הנקראת CSV Injection. מכיוון שניתן להוריד את Azure Logs כקובץ CSV (ערכים מופרדים בפסיקים), ייתכן שהקובץ יכיל נוסחת Excel שהתוכנית מבצעת עם פתיחת הקובץ. כמה נוסחאות – ניחשתם נכון – עלולות להיות זדוניות, ולכפות על ביצוע פקודה של מערכת ההפעלה וניצולים אחרים. "זה יכול להיות מסוכן לא רק בגלל שניתן להפעיל פקודות שרירותיות אלא גם בגלל שמשתמשים בדרך כלל לא יודעים על זה, מתוך מחשבה שקובצי CSV הם רק קבצי טקסט רגילים שלא יכולים לגרום נזק", נכתב בדו"ח.
פגיעויות אלה יכולות להתבצע ללא אימות, סיכמו החוקרים, מה שמרמז כי התוקפים אינם צריכים להיות בעלי חשבון בסביבת הענן .
החדשות הטובות הן שהפגיעות לא עובדת על מופעי Excel עם תיקון מלא, אז ודא שהפגיעות שלך מעודכנת.