A primeira brecha de segurança foi descoberta no Azure Stack. A segunda falha de segurança foi encontrada no Azure App Service. A falha no Azure Stack permitia a um hacker obter imagens e informação confidencial das máquinas que corressem Azure. A falha na Azure App permitia que um cibercriminoso pudesse obter o controlo sobre todo o servidor Azure, e consequentemente ganhar controlo sobre o código corporativo das empresas.
A Check Point e a Microsoft trabalharam em conjunto para solucionar estes problemas, tornando a cloud mais segura.
Falha no Azure Stack: Atacante Obtém Imagens e Informação Confidencial das Máquinas em Azure
O Azure Stack é uma solução de software de computação cloud desenvolvida pela Microsoft que foi desenhada para apoiar as empresas a disponibilizar serviços Azure a partir dos seus próprios danta centers. A Microsoft criou o Azure Stack como forma de apoiar as organizações a adotar a computação de cloud híbridas segundo os seus próprios requisitos sem perder toda a potencialidade do poder da cloud, enquanto podem endereçar requisitos de negócio e técnicos como sejam regulamentação, propriedade de dados, customização e latência.
A equipa de investigação da Check Point conseguiu captar imagens de ecrans e aceder a informação confidencial em ambientes Azure e em servidores. Esta falha de segurança permitia a um hacker aceder a informação confidencial de qualquer empresa que pudesse encontrar-se num máquina que corra Azure. De modo a executar esta falha, o cibercriminoso teria de obter acesso ao Azure Stack Portal, permitindo-lhe enviar pedidos de HTTP não autenticados que pudessem fornecer imagens e informação existente nos diversos ambientes e máquinas da infraestrutura.
Falha na Azure App: Atacante Toma Controlo Sobre Servidor e Código
O Azure App Service é totalmente gerido como "Platform as a Service" (PaaS) que integra os Microsoft Azure Websites, serviços Mobile, e outros serviços num só serviço, adicionando novas funcionalidades que permitem a integração com sistemas cloud e on-premise. O Azure App Service permite aos utilizadores diversas capacidades como provisionamento e implementação web e de apps mobile, construção de apps iOS, Android e Windows, automatizar processos de negócio através de uma experiência visual gráfica, e integração com aplicações de "Software as a Service" (SaaS) como Salesforce, Marketo e DropBox.
Os investigadores da Check Point conseguiram provar que um hacker poderia comprometer aplicações terceiras, dados e contas através da criação de um utilizador gratuito na Azure Cloud e correndo funções maliciosas em Azure. O resultado final poderia equivaler ao cibercriminoso potencialmente tomar o controlo de todo o servidor Azure, e consequentemente controlar toda a informação corporativa.
Processo de Investigação da Check Point
Os investigadores da Check Point começaram por instalar o Azure Stack Development Kit (ASDK) nos seus próprios servidores. Depois de instalar o ASDK, a equipa de investigação da Check Point mapeou os locais que onde poderiam encontrar potenciais vulnerabilidades. Visto oAzure Stack ter funcionalidades similares à da cloud pública Azure, os investigadores da Check Point focaram-se nesses vetores.
Reporte Responsável
A Check Point revelou de forma responsável esta descoberta à Mocrosoft. A primeira falha foi reportada pela Check Point a 19 de Janeiro de 2019, para a qual a Microsoft criou o CVE-2019 1234, respetivamente. A segunda falha for reportada pela Check Point a 27 de Junho de 2019, para a qual a Microsft lançou o CVE-2019-1372. Em conjunto, a Check Point e a Microsoft trabalharam em parceria para solucionar estes problemas. Os pacotes completos para estas falhas de segurança no Azure foram lançados publicamente no final de 2019.
