Microsoft が Azure の深刻なバグを FIX:Managed Identities 認証トークンの窃取が可能

Microsoft fixes critical Azure bug that exposed customer data

2022/03/07 BleepingComputer — Microsoft は、Azure Automation サービスの脆弱性により、Azure 顧客のデータを、攻撃者が完全に制御できる可能性があることに対応した。Microsoft Azure Automation Service は、プロセスの自動化およびコンフィグレーション/マネージメント管理の機能を提供し、Azure 顧客ごとに隔離されたサンドボックス内部で、スケジュールされた各ジョブを実行する。

Orca Security の Cloud Security Researcher である Yanir Tsarimi が、この脆弱性を発見し AutoWarp と名付けた。その悪用に成功した攻撃者は、他のユーザーのサンドボックスを管理する内部サーバーから、Azure 顧客の Managed Identities 認証トークンを盗むことが可能になる。

Yanir Tsarimi は、「悪意を持った何者かが、継続的にトークンを不正に取得し、トークンに対応する Azure 顧客へと攻撃を広げることができた。この攻撃は、顧客により割り当てられた権限に応じて、標的となるアカウントに属するリソースとデータを完全に制御できることを意味する。我々は、リスクのある大企業 (グローバル通信会社/自動車メーカー2社/銀行コングロマリット、ビッグ4会計事務所など) を発見した」と述べている。

ワイルドなエクスプロイトの証拠はない

この脆弱性の影響を受けた Azure Automation アカウントには、Managed Identity 機能が有効になっているものが含まれる (Tsarimi によるとデフォルトで ON)。Microsoft は、「リソースへのアクセスに、AutomationHybrid ワーカーを実行し、AutomationRun-As アカウントを使用する、Automation アカウントは影響を受けない」と述べている。

Microsoft Security Response Center (MSRC) に対して、Tsarimi が脆弱性の発見を報告した4日後の 12月10日に、正当なアクセス権を持つサンドボックス以外への、認証トークンのアクセスをブロックすることで、Microsoft はセキュリティ欠陥を修正した。

今日になって Microsoft は、Managed Identitiesトークンが悪用された証拠や、AutoWarp が攻撃に悪用された証拠は見つからないとして、この脆弱性を公表した。

Microsoft は、すべての影響を受ける Azure Automation サービス顧客に通知し、ここに概説されているセキュリティのベストプラクティスに従うことを推奨している。同社は、2021年12月にも、顧客の Azure Web アプリケーションのソースコードに、攻撃者によるアクセスを許す Azure のバグ (NotLegit) を緩和している。

SMC Magazine の Microsoft fixes ‘AutoWarp’ vulnerability in Azure Automation inside of four days によると、この問題は解決されているようですが、クラウドということで CVE は発行されないようです。最近の Azure に関する問題としては、2021年11月の「Black Hat Europe:Microsoft Azure Cosmos DB はカオスだという話」および、「Microsoft Azure AD の深刻な脆弱性 CVE-2021-42306 がユーザーに通知される」、12月の「Azure App Service の深刻な問題:4年間にわたり PHP/Ruby/Python/Node のソースが漏洩」、そして、2022年1月の「Microsoft 警告:Outlook と Azure AD を悪用するフィッシング・キャンペーン」などがあります。よろしければ、ご参照ください。

%d bloggers like this: