Azure Key Vault Vulnerability: Exploiting Role Misconfigurations for Privilege Escalation
2024/12/18 SecurityOnline — Azure Key Vault に存在する権限昇格の脆弱性により、機密性の高いシークレット/キー/証明書への想定外のアクセスが許可されることを、Datadog Security Labs が発見した。この発見が明らかにしたのは、攻撃者がロールのミスコンフィグを悪用する攻撃者がアクセス制限を回避することで、Azure のビルトイン・ロールの信頼性が損なわれるという状況である。
Datadog 調査により判明したのは、Key Vault データでは想定されていない Key Vault Contributor ロールへのアクセスが悪用され、フルアクセスが取得される可能性である。Microsoft のドキュメントでは、このロールは Key Vaults を管理するが、データ・アクセスは明らかに許可されないと説明されている。ただし、Datadog の研究者たちは、このロールに “Microsoft.KeyVault/vaults/write” 権限が含まれており、アクセス・ポリシーの変更が可能なことを突き止めた。それにより、ユーザーは権限を昇格させ、機密データにアクセスできると指摘している。
Datadog のレポートが指摘するのは、「Azure ビルトイン・ロールに “Microsoft.KeyVault/vaults/write” 権限が取り込まれるのは、このロールがアクセスできるデータの、定義された境界に違反する。この設計ギャップにより、ユーザーは制限を回避して、Key Vault シークレットをダイレクトに読み取れる」という点だ。
Datadog の研究者たちが示すのは、フィッシングを介してユーザー・アカウントを侵害した攻撃者が、Key Vault Contributor ロールを悪用してアクセス・ポリシーを変更するという実際のシナリオである。この攻撃者は、自身に対してフルアクセス権限を付与することで、API キー/パスワード/認証証明書などのシークレットを取得できる。この深刻な欠陥は、Azure RBAC モデルではなく、アクセス・ポリシーを用いて、Key Vault がコンフィグされている場合に発生する。
このレポートで強調される点は、「Key Vault Contributor ロールを持つ攻撃者は、アクセス・ポリシーを変更し、Key Vault の全データへのアクセスを自身に付与できる。その結果として、この攻撃者に対して、すべての Key Vault シークレットが露出することになる」という部分である。
この問題は、Microsoft Security Response Center (MSRC) へと開示された。しかし、その後の Microsoft は、設計上の振る舞いであると述べている。そのため同社は、Key Vault Contributor ロールによる、アクセス・ポリシーの変更が可能であることを明確にするために、ドキュメントを更新している。それに加えて、ロールの慎重な割り当てと監視の必要性を強調している。
同じく 2024/12/18 に、「Azure Data Factory の脆弱性:Apache Airflow 統合における問題を掘り下げる」という記事を掲載していますが、そちらもミスコンフィグが起点となる問題を取り上げています。2024/12/10 には、「AWS のミスコンフィグを狙うハッカーたち:分業化された犯罪シンジケートの存在」という記事もポストしていますので、よろしければ ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.