クラウド セキュリティの悪夢: Azure の脆弱性によりハッカーがクラウド サーバーを乗っ取る

イスラエルのサイバーセキュリティ企業 Check Point のサイバーセキュリティ研究者は、Microsoft Azure サービスにおける最近修正された潜在的に危険な脆弱性 2 件について詳細を公開しました。この脆弱性が悪用されると、Azure 上で Web アプリケーションやモバイル アプリケーションを実行している企業をハッカーが標的にする可能性があります。

[[313971]]

Azure App Service は、ユーザーがあらゆるプラットフォームやデバイス向けの Web アプリケーションやモバイル アプリケーションを作成し、それらを SaaS ソリューションやオンプレミス アプリケーションと簡単に統合してビジネス プロセスを自動化できるようにする、完全に管理された統合サービスです。

有名なウェブサイト「The Hacker News」に研究者らが提出したセキュリティレポートによると、最初のセキュリティ脆弱性（CVE-2019-1234）は、Microsoft のハイブリッド クラウド コンピューティング ソフトウェア ソリューションである Azure Stack に影響を及ぼすサーバー側のリクエスト スプーフィングの脆弱性です。

この脆弱性が悪用されると、リモート ハッカーが、Azure インフラストラクチャ上で実行されているすべての仮想マシンのスクリーンショットや機密情報に不正にアクセスできるようになります。共有、専用、または分離された VM のいずれで実行されているかは関係ありません。

研究者によると、この脆弱性は、ユーザーが Azure Stack を使用して作成されたクラウドにアクセスするために使用するインターフェースである Microsoft の Azure Stack ポータルを通じて悪用される可能性があるという。

研究者は、認証されていない内部 API を使用して、VM 名と ID、ターゲット マシンのコアや合計メモリなどのハードウェア情報を取得する方法を見つけ、それを別の認証されていない HTTP 要求と組み合わせて、図に示すようにスクリーンショットを取得しました。

Microsoft Azure スクリーンショット

この脆弱性はAzure Stackにのみ影響し、これは「非常に有効な攻撃ベクトル」であると、チェック・ポイントのセキュリティ研究ディレクター、ヤニフ・バルマス氏は述べた。 「多数のテナントを持つ大規模な Azure Stack 環境がある場合、他のマシンのスクリーンショットを撮ることができます。状況によっては危険になる場合とそうでない場合があります。」

2 番目の脆弱性 (CVE-2019-1372) は、Azure Stack 上の Azure App Service に影響するリモート コード実行の脆弱性であり、ハッカーが Azure サーバー全体を完全に制御し、企業のビジネス コードを完全に制御できるようになります。 Azure App Service を使用すると、ユーザーはインフラストラクチャを管理することなく、任意のプログラミング言語を使用して Web アプリケーション、モバイル バックエンド、RESTful API を構築およびホストできます。

さらに懸念されるのは、攻撃者が Azure Cloud に無料のユーザー アカウントを作成し、Azure Cloud で悪意のある機能を実行したり、認証されていない HTTP 要求を Azure Stack ユーザー ポータルに送信したりするだけで、両方の脆弱性を同時に悪用できることです。

Check Point は、2 番目の脆弱性について説明した詳細な技術ブログ記事を公開しましたが、簡単に言うと、この脆弱性は、テナントのアプリケーションと IIS ワーカー プロセスの管理と実行を担当し、テナントのアプリケーションを実際に実行し、指定されたタスクのために相互に通信する Dynamic WAS Service (DWASSVC) に存在します。

Azure Stack はメモリの内容をバッファの長さをチェックせずにコピーするため、攻撃者は特別に細工したメッセージを DWASSVC サービスに送信して脆弱性を悪用し、最高の NT AUTHORITY / SYSTEM 権限を持つサーバー上で悪意のあるコードを実行できる可能性があります。

「では、攻撃者はどのようにして DWASSVC (DWASInterop.dll) にメッセージを送信できるのでしょうか? 設計上、C# Azure Function を実行すると、ワーカー プロセス (w3wp.exe) のコンテキストで実行されます」と設計者は述べています。

「これにより、攻撃者は現在開いているハンドルを列挙することが可能になります。これにより、攻撃者は既に開いている名前付きパイプ ハンドルを見つけ、特別に細工したメッセージを送信できるようになります。」

「これにより、同じサーバー上で実行されているすべてのワークロードを完全に可視化できます」とバルマス氏は語った。 「変更も削除も、何でも好きなことができます。」

Check Point はブログ記事で、2 番目の脆弱性のみを使用して、DWASSVC をクラッシュさせるためにどのように悪用されるかを示しましたが、権限を昇格するためにも使用される可能性があります。

両方の脆弱性は、チェック・ポイントの研究者であるロネン・シュスティン氏によって発見され、昨年マイクロソフトに責任を持って報告し、ハッカーによる深刻な被害や混乱を防いだ。シュスティン氏はブログ投稿の中で、研究チームが「クラウド インフラストラクチャは安全である」という考えを反証するために Azure インフラストラクチャの研究を開始したと述べた。

「これはクラウドセキュリティにとって悪夢のシナリオだ」とバルマス氏は語った。 「これはクラウド セキュリティの概念を揺るがすものです。これを防ぐことはできず、自分自身を守ることもできません。これを防ぎ、自分自身を守ることができるのはクラウド プロバイダーだけです。」

マイクロソフトは昨年末に2つの脆弱性を修正した後、Azureバグ報奨金プログラムに基づきシュスティン氏に4万ドルを授与した。