Foi descoberta uma vulnerabilidade crítica de segurança na arquitetura de conexão da API do Microsoft Azure, que poderia permitir que os atacantes comprometam completamente os recursos em diferentes ambientes de inquilinos, potencialmente expondo dados confidenciais armazenados em cofres, bancos de dados do Azure SQL e serviços de terceiros como JIRA e Salesforce.
A vulnerabilidade, que rendeu a um pesquisador de segurança uma recompensa de US $ 40.000 da Microsoft e um slot de apresentação no Black Hat, explorou a instância de gerenciamento de API (APIM) da Azure, onde todas as conexões da API são criadas globalmente.
Essa falha arquitetônica permitiu acesso cruzado sem precedentes, permitindo que atores maliciosos sequestras Conexão da API Em todo o mundo, com privilégios completos de back -end.
Detalhes da exploração técnica
O ataque alavancou um ponto de altura não -documentado em que permite que as conexões da API executem ações arbitrárias por meio de Azure Gerente de Recursos (ARM).
Ao contrário das restrições/extensões/proxy/[Action]endpoint, dynamicinvoke aceita caminhos personalizados, métodos, cabeçalhos e órgãos de solicitação, fornecendo um poderoso vetor de ataque.
A vulnerabilidade se concentra em como o ARM processa solicitações para a instância do APIM compartilhado.
Ao receber uma solicitação DynamicInVoke, o ARM Constructs chamadas usando o formato:/apim/[ConnectorType]/[ConnectionId]/[Action-Endpoint]com tokens de braço super privilegiados que têm acesso a todas as conexões da API globalmente.
Os invasores podem explorar isso criando conectores de aplicativos de lógica personalizados com vulnerabilidades de travessia de caminho.
Fornecendo parâmetros de caminho malicioso como ../../../../[VictimConnectorType]/[VictimConnectionID]/[action]o caminho de solicitação normalizaria diretamente para segmentar conexões da vítima, ignorando todos os controles de acesso.
A gravidade dessa vulnerabilidade não pode ser exagerada. A exploração bem-sucedida concede aos atacantes administradores de acesso a recursos comprometidos, incluindo:
- Azure Key Vaults: Acesso completo a segredos, certificados e teclas criptográficas armazenadas
- Bancos de dados do Azure SQL: Acesso completo ao banco de dados e exfiltração de dados em potencial
- Integrações de terceiros: Compromisso de serviços conectados como Slack, Salesforce e Jira
- Qualquer serviço conectado externamenteAcessível através de conexões de API
O único pré-requisito para a exploração foi ter acesso em nível de contribuinte a uma conexão da API em qualquer inquilino do Azure, tornando isso uma vulnerabilidade significativa de escalada de privilégio.
A Microsoft respondeu rapidamente à divulgação, confirmando a vulnerabilidade dentro de três dias após o envio de 7 de abril e implementando mitigações dentro de uma semana, conforme um relatório por um relatório por Segurança binária.
A empresa implantou um sistema de lista negra que bloqueia ../ e certas variantes codificadas por URL nos parâmetros do caminho.
No entanto, o pesquisador observou que essa correção pode não ser abrangente, sugerindo que os hipóxos ainda podem ser técnicas alternativas de normalização de caminho alternativas ou manipulação direta do caminho da conexão da API.
O pesquisador incentiva mais testes de segurança, observando que os desvios bem -sucedidos devem produzir recompensas de recompensas semelhantes.
Essa descoberta destaca a importância crítica do design de arquitetura segura em ambientes em nuvem, onde o isolamento de vários inquilinos é fundamental para a confiança do cliente e a segurança de dados.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!