Token Security
研究人员发现微软Azure存在部分角色有过高特权以及曝露VPN金钥的漏洞,两漏洞合用可能让攻击者轻易取得企业敏感资料。
2项漏洞是由Token Security发现。其一存在Azure角色为基础的存取控制(role-based access control, RBAC)。第二则位于Azure API,可能让攻击者泄露VPN金钥。
Azure RBAC是一权限管理机制,可让管理员将权限分配给不同使用者、群组或是服务主体(service principals)。当管理员为一主体分派了角色,也就同时赋予其权限。但作者指出,在Azure 内建的400个角色中,有些角色具备过高特权(over-privileged)。作者认为有10个Reader角色被分配了不必要的读取(*/read)特权,像是Log Analytics Reader、Managed Application Contributor Role和App Compliance Automation Reader等。
另一漏洞存在Azure API。Azure API 一个呼叫设计错误,使得即便只有 read-only 特权的用户,也能透过发送 GET 请求来取得本应该受限的敏感资料(例如 VPN闸道的预共享金钥(pre-shared key, PSK)。
研究人员说,结合这二个漏洞能发展出攻击串,使骇客得以存取公司内部的云资产或是本地部署网路。例如攻击者先取得某个具备(或不当分配了)*/read特权的角色,取得VPN 闸道的共享金钥,借此建立站对站连线(site-to-site connection)连上内部网路,包括企业VPC和本地部署网路。他也以影片示范了如何利用Log Analytics Reader角色连上企业VPN发动窃密攻击。
研究人员将二项漏洞通报微软后,针对VPN PSK泄露漏洞,微软承认为「重要」风险,已修补完成,颁布7500美元奖金给研究人员。至于第一项过度给予特权(over-privileged)的角色漏洞,微软认为是低度严重性的安全问题,决定不修补。研究人员提醒企业最好不要在环境中使用这10项角色。