探索网络安全新技术
攀登黑客技术最高峰

Microsoft Azure中的“设计缺陷”可能导致存储账户被接管

微软Azure中的一个漏洞可能被攻击者利用来获取存储账户的访问权限,执行横向移动甚至远程代码攻击。

来自安全公司Orca的研究人员演示了如何利用微软Azure共享密钥授权来获取对存储账户的完全访问权限,可能还包括对关键业务资产的访问。该问题还可被滥用以在环境中进行横向移动甚至执行远程代码攻击。

微软已建议禁用共享密钥访问,并改用Azure Active Directory身份验证,但专家指出,在创建存储账户时,共享密钥授权仍然是默认启用的。

“Orca发现可以通过操纵Azure Functions来滥用和利用Microsoft存储账户,窃取高权限身份的访问令牌,进行横向移动,访问关键业务资产和执行远程代码(RCE)。”安全公司发布的公告中如是说。

Azure存储账户可以托管不同的数据对象,如块和文件共享。默认情况下,Azure存储账户请求可以通过Azure Active Directory(Azure AD)凭据进行授权,也可以使用共享密钥授权访问账户。

每当用户创建存储账户时,Azure会为该账户生成两个512位存储账户访问密钥。微软警告说,任何人都可以获得其中之一的密钥,就可以通过共享密钥授权授权访问数据并访问存储账户。该IT巨头建议使用Azure AD授权代替共享密钥授权。

“访问共享密钥授予用户对存储账户配置和数据的完全访问权限。”微软表示。

一旦攻击者获得了对存储账户的完全访问权限,就可以在云环境中访问存储账户中的信息,包括Azure函数的源代码,并操纵其代码,窃取和泄露Azure函数应用程序分配的托管身份的访问令牌并升级权限。

Microsoft Azure中的“设计缺陷”可能导致存储账户被接管-威武网安

专家解释说,如果使用托管身份调用函数应用程序,则可以被滥用以执行任意命令。

“此时窃取凭据和提权,听起来可怕,但相当容易。一旦攻击者找到分配了强大托管身份的函数应用程序的存储账户,就可以代表其运行代码,并因此获得订阅权限升级(PE)。”专家在报告中总结道。“通过覆盖存储账户中的函数文件,攻击者可以窃取和泄露更高权限的身份,并使用它进行横向移动、利用和危害受害者最有价值的核心资产。”

专家将他们的发现与微软安全响应中心分享,但这个IT巨头解释说,这个问题不是漏洞,而是“设计缺陷”,需要进行重大更改才能解决。

“作为持续的体验改进的一部分,Azure函数团队计划更新函数客户端工具与存储账户的协作方式。这包括对使用身份验证场景的更好支持的更改。”微软表示。“在AzureWebJobsStorage的基于身份的连接通用可用并验证新的体验后,身份将成为AzureWebJobsStorage的默认模式,旨在摆脱共享密钥授权。”

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《Microsoft Azure中的“设计缺陷”可能导致存储账户被接管》
文章链接:https://www.wevul.com/431.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册