Nowa krytyczna podatność prowadząca do zdalnego wykonania kodu (RCE), dotycząca wielu usług związanych z platformą Microsoft Azure, może zostać wykorzystana przez atakujących do całkowitego przejęcia kontroli nad aplikacją w Azure.
Luka została nazwana „EmojiDeploy” i jest uzyskiwana poprzez CSRF (Cross-site request forgery) we wszechobecnej usłudze SCM Kudu. Wykorzystując dziurę, osoby atakujące mogą wdrażać złośliwe pliki ZIP zawierające ładunek w aplikacji platformy Azure ofiary.
EmojiDeploy umożliwia zdalne wykonanie kodu i pełne przejęcie docelowej aplikacji, w tym:
- uruchamianie kodu i poleceń jako użytkownik www,
- kradzież lub usunięcie wrażliwych danych,
- kampanie phishingowe,
- przejęcie zarządzanej tożsamości aplikacji i przenoszenie jej do innych usług platformy azure.
Oczywiście wpływ wykorzystanej podatności na organizację jako całość zależy od uprawnień zarządzanej tożsamości aplikacji. Skuteczne stosowanie zasady najmniejszych uprawnień może znacznie ograniczyć skutki ataku.
SCM Kudu można opisać jako silnik stojący za wieloma funkcjami Azure App Service związanymi z wdrażaniem opartym na kontroli źródła i innymi metodami wdrażania – takimi jak synchronizacja Dropbox i OneDrive.
Podatność została niedawno naprawiona przez Microsoft, a jej odkrywcy, czyli zespół Ermetic, zostali nagrodzeni BugBounty w wysokości 30 000 USD.
Schemat ataku można obejrzeć na poniższej animacji:
W hipotetycznym łańcuchu ataku przeciwnik mógłby wykorzystać lukę w zabezpieczeniach CSRF w panelu Kudu SCM, aby pokonać zabezpieczenia wprowadzone w celu udaremnienia ataków z różnych źródeł. By to zrobić, atakujący wysyła specjalnie spreparowane żądanie do punktu końcowego „/api/zipdeploy” i dostarcza złośliwe archiwum (np. powłokę sieciową), żeby uzyskać zdalny dostęp.
Fałszowanie żądań między witrynami, znane również jako „surfowanie po morzu” lub „jazda sesyjna”, jest wektorem ataku, w ramach którego cyberprzestępca nakłania uwierzytelnionego użytkownika aplikacji internetowej do wykonywania nieautoryzowanych poleceń w jego imieniu.
Z kolei plik ZIP zakodowany jest w treści żądania HTTP, co powoduje, iż aplikacja ofiary przechodzi do domeny kontrolowanej przez aktora, w której znajduje się złośliwe oprogramowanie.
Odkrycia pojawiły się kilka dni po tym, jak Orca Security ujawniła cztery przypadki ataków fałszerstwa żądań po stronie serwera (SSRF), mające wpływ na Azure API Management, Azure Functions, Azure Machine Learning i Azure Digital Twins. W branży cybersecurity warto śledzić nowości dotyczące popularnych usług chmurowych, gdyż galopujący postęp tych technologii może pozostawiać coraz więcej krytycznych luk do wykorzystania przez hakerów.