Nyheter

Azure Stack mottaglig igen för säkerhetsproblem

Azure Stack mottaglig igen för säkerhetsproblem

En av anledningarna till att vissa organisationer föredrar hybridmolntjänster som Microsoft Azure Stack är möjligheten att hålla känslig data på plats, säkert.

Men Check Point Research-analytiker exponerade två kritiska säkerhetsproblem på den lokala plattformen för en tid tillbaka, och de har nu släppt en rapport som beskriver hur de gjorde det.

Vissa tjänsteförfrågningar krävde ingen validering i Azure Stack

Forskarna kunde visa hur en skadlig skådespelare kunde utnyttja en till synes mindre tillsyn i programvarudesign för att orsaka allvarliga problem.

De blev förvånade över att upptäcka att vissa förfrågningar i Azure inte krävde autentisering. Den sårbarheten gjorde det möjligt för dem att komma åt specifika interna Azure Stack-resurser.

I vårt fall, eftersom DataService inte krävde autentisering, tillät det så småningom oss att få skärmdumpar och information om hyresgäster och infrastrukturmaskiner.

Det andra säkerhetsproblemet som de identifierade är förfalskning på serversidan (SSRF). Denna brist gjorde det möjligt för dem att dra fördel av bristen på validering av begäran i Azure genom att distribuera en speciellt utformad begäran via plattformens användarportal.

Hur de drog av det

Analytikerna började med att ställa in Azure Stack på sin egen dator för att skapa ett privat moln. De identifierade sedan "DataService" som en av tjänsterna på plattformen som inte krävde någon validering.

Vid vidare utforskning av API: er upptäckte de att de kunde få mycket information på Azure Stack-maskiner, till exempel enhets-ID och systemspecifikationer..

I slutändan kan forskarna åberopa vissa funktioner och ta skärmdumpar på specifika maskiner. Genom att utföra en SSRF-överträdelse lyckades de komma åt "DataService" och leverera en skärmdumpförfrågan utan något hinder på serversidan.

Azure Stack-kunder behöver inte längre oroa sig för förfalskningshotet eftersom Microsoft tillhandahöll en säkerhetsuppdatering för det. Man kan ändå inte låta bli att undra om det offentliga Azure-molnet någonsin har haft samma problem, med tanke på att det delar liknande funktioner med det lokala alternativet.

Check Point Research kunde inte utsätta Microsofts offentliga molninfrastruktur för ett liknande test på grund av komplikationerna.

Azure har ändå kommit långt. Baserat på dess finansiella resultat för andra kvartalet är produkten avgörande för Microsofts totala intäktsökning.

Förhoppningsvis validerar den offentliga molnlösningen alla tjänsteförfrågningar för att minimera risken för SSRF-intrång.

fönster Holiday Deal Köp en Windows 8.1-surfplatta eller PC, få $ 25 som presentkort
Holiday Deal Köp en Windows 8.1-surfplatta eller PC, få $ 25 som presentkort
Black Friday och Cyber ​​Monday har avslutats men det finns några fler söta erbjudanden som Microsoft har förberett för dig. Läs nedan för att se vad ...
fönster Rabatterade Windows 8-appar och spel den här veckan # 6
Rabatterade Windows 8-appar och spel den här veckan # 6
Ytterligare en vecka är här och Microsoft publicerar som alltid rabatterade Windows 8-appar och spel i Windows Store. För den här veckan har vi fyra i...
fönster NBC Olympics Windows 8 App strömmar vinterspelen 2014
NBC Olympics Windows 8 App strömmar vinterspelen 2014
Sotji Olympiska vinterspelen 2014 är i full gång men om du äger en Windows-surfplatta, bör du veta att NBC nyligen har lanserat NBC Sports Live Extra-...