FabricScape: Microsoft opravuje chybu zabezpečení Azure ovlivňující pouze pracovní zátěže Linuxu

Stejně jako většina cloudových a místních prostředí funguje i Microsoft Azure jako vektor útoku pro útočníky. Protože zranitelnost zabezpečení Azure by mohla potenciálně ovlivnit miliony spotřebitelů, je důležité, aby Microsoft takové problémy včas opravil. Nyní společnost odhalila podrobnosti o jednom takovém problému, který nedávno opravila v Azure Service Fabric.

Pro ty, kteří nevědí, Azure Service Fabric je služba, která lidem umožňuje hostovat aplikace ve spravovaných prostředích v cloudu Azure. Ve skutečnosti je několik projektů Microsoftu vytvořeno pomocí Azure Service Fabric, včetně Cortany/Bing, Power BI, Skype pro firmy, Azure SQL Database a dalších.

30. ledna Palo Alto Networks soukromě oznámila Microsoftu bezpečnostní chybu v Azure Service Fabric. Problém byl nazván „FabricScape“ a přestože podrobnosti o zneužití jsou technické – stále si o něm můžete podrobně přečíst zde – zde je shrnutí poskytnuté společností Microsoft:

  • Krok 1: Útočník musí ohrozit kontejnerizovanou pracovní zátěž nasazenou vlastníkem clusteru Linux SF.
  • Krok 2: Nepřátelský kód spuštěný uvnitř kontejneru může nahradit soubor indexu načtený pomocí DCA symbolickým odkazem.
    • Pomocí dodatečného časovacího útoku může útočník získat kontrolu nad strojem hostujícím SF uzel.

I když se problém vyskytoval v clusterech Windows i Linux, Microsoft zjistil, že jej lze zneužít pouze na klastrech Linux. Úspěšný útok na kompromitovaný linuxový kontejner by mohl útočníkovi umožnit provést útok na zvýšení oprávnění na hostitelský uzel a poté převzít kontrolu nad celým clusterem.

Poté, co byla chyba 30. ledna soukromě nahlášena společnosti Microsoft, společnost provedla opravu 24. května. Podrobnosti o exploitu byly také sdíleny se zákazníky pomocí mechanismů automatické aktualizace. Poté byly 9. června zveřejněny veřejné pokyny pro používání Azure Service Fabric. A konečně 14. června společnost Microsoft veřejně spustila opravu zákazníkům s povolenými automatickými aktualizacemi. Mezitím ti, kteří nemají povolené automatické aktualizace, byli o problému informováni prostřednictvím Azure Service Health.

Netřeba dodávat, že je dobré upgradovat clustery Azure Service Fabric a také se ujistit, že dodržujete pokyny společnosti Microsoft doporučené zde .

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.