マイクロソフトは、攻撃者が他のAzureのお客様のデータを完全に制御できる可能性があるAzure Automationサービスの脆弱性に対応したことを発表しました
AutoWarp は、Azure Automation サービスに存在する重大な脆弱性で、同サービスを使用している他の Azure 顧客アカウントへの不正アクセスを可能にするものです。この攻撃により、お客様から割り当てられた権限によっては、対象となるアカウントに属するリソースやデータを完全に制御される可能性があります。
Microsoft Azure Automation Serviceは、プロセスの自動化、構成管理、および更新管理機能を提供し、スケジュールされた各ジョブはAzure顧客ごとに隔離されたサンドボックス内部で実行されます。
この脆弱性はAutoWarpと名付けられ、攻撃者が他のユーザーのサンドボックスを管理する内部サーバーから他のAzure顧客のManaged Identities認証トークンを盗むことが可能になっています。
悪意を持った誰かが継続的にトークンを取得し、トークンごとに、より多くのAzure顧客に攻撃を広げることができました
この攻撃は、顧客によって割り当てられた権限に応じて、標的となったアカウントに属するリソースとデータを完全に制御することを意味します。
我々は、リスクのある大企業(グローバル通信会社、自動車メーカー2社、銀行コングロマリット、ビッグ4会計事務所など)を発見しました。
実世界での利用はない
この脆弱性の影響を受けるAzure Automationアカウントには、Managed Identity機能が有効になっているものが含まれます(Tsarimi氏によると、デフォルトでオンになっている)
Microsoftは、「実行にAutomation Hybrid Workerを使用し、リソースへのアクセスにAutomation Run-Asアカウントを使用している自動化アカウントは影響を受けません」と述べています。
Microsoftは報告の4日後の12月10日に、正当なアクセス権を持つサンドボックス以外への認証トークンのアクセスをブロックすることでこのセキュリティ欠陥を修正しました。
同社はManaged Identitiesトークンが悪用された証拠や、AutoWarpが攻撃に悪用された証拠は見つからなかったとして、この脆弱性を公表しました。
影響を受けるすべてのAzure Automationサービスの顧客に通知し、ここに概説されているセキュリティのベストプラクティスに従うことを推奨しています。
12月にも攻撃者が顧客のAzure WebアプリケーションのソースコードにアクセスすることができるAzureのバグ(NotLegitと命名)を修正しています。
Comments