Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Microsoft warnt vor Missbrauch einer Azure Service Tags Sicherheitslücke

Microsoft warnt davor, dass Angreifer Azure Service Tags missbrauchen könnten, um Anfragen von einem vertrauenswürdigen Dienst zu fälschen und so Firewall-Regeln zu umgehen. Dadurch könnten sie unbefugten Zugriff auf Cloud-Ressourcen erhalten.

Lesezeit 2 Min.

Microsoft hat vor kurzem eine kritische Sicherheitslücke in Azure Service Tags offengelegt, die Angreifern ermöglichen könnte, Firewall-Regeln zu umgehen und unbefugten Zugriff auf Cloud-Ressourcen zu erhalten. Die Schwachstelle betrifft zehn Azure-Dienste.

„Dieser Fall zeigt ein inhärentes Risiko bei der Verwendung von Service-Tags als einziger Mechanismus zur Überprüfung des eingehenden Netzwerkverkehrs auf“, so das Microsoft Security Response Center (MSRC) in einer jetzt veröffentlichten Anleitung. „Service-Tags sind nicht als Sicherheitsgrenze gedacht und sollten nur als Routing-Mechanismus in Verbindung mit Validierungskontrollen verwendet werden. Service-Tags sind kein vollständiger Schutz für den Datenverkehr und ersetzen nicht die Eingabevalidierung, um Schwachstellen bei Webanfragen zu verhindern.“

Angreifer können Firewall-Regeln umgehen und Cloud-Ressourcen missbrauchen

Die Erklärung ist eine Reaktion auf die Ergebnisse von Tenable. Das Security-Unternehmen hat herausgefunden, dass Firewalls von Azure-Kunden, deren Firewall-Regeln sich auf Azure Service Tags verlassen, umgangen werden können. Es gibt keine Hinweise darauf, dass die Funktion in freier Wildbahn ausgenutzt wurde.

Das Problem rührt im Kern daher, dass einige Azure-Dienste eingehenden Datenverkehr über ein Service-Tag zulassen, so dass ein Angreifer in einem Tenant möglicherweise speziell gestaltete Webanfragen senden kann, um auf Ressourcen in einem anderen Tenant zuzugreifen. Das ist allerdings nur möglich, wenn dieser ist so konfiguriert, dass er Datenverkehr vom Service-Tag zulässt und keine eigene Authentifizierung vornimmt.

Insgesamt wurden zehn Azure-Dienste als anfällig eingestuft: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer und Azure Chaos Studio.

Microsoft rät zu sofortigen Maßnahmen

„Diese Schwachstelle ermöglicht es einem Angreifer, Server-seitige Anfragen zu kontrollieren und sich so als vertrauenswürdiger Azure-Dienst auszugeben“, so Liv Matan von Tenable. „Dadurch kann der Angreifer Netzwerkkontrollen umgehen, die auf Service-Tags basieren. Diese werden oft genutzt, um den öffentlichen Zugriff auf interne Ressourcen, Daten und Dienste von Azure-Kunden zu verhindern.“

Als Reaktion auf die Enthüllung Ende Januar 2024 hat Microsoft die Dokumentation aktualisiert und ausdrücklich darauf hingewiesen, dass „Service-Tags allein nicht ausreichen, um den Datenverkehr zu sichern, ohne die Art des Dienstes und den von ihm gesendeten Datenverkehr zu berücksichtigen.“

Es wird außerdem empfohlen, dass Kunden ihre Verwendung von Service-Tags überprüfen und sicherstellen, dass sie angemessene Sicherheitsvorkehrungen getroffen haben, um nur vertrauenswürdigen Netzwerkverkehr für Service-Tags zu authentifizieren.

Diesen Beitrag teilen: