Erneut schwerwiegende Schwachstelle in Microsoft Azure
Erst gerade im August wurde eine schwerwiegende Schwachstelle in der Microsoft Azure Cosmos DB gemeldet. Gestern veröffentlichten Forscher von WIZ erneut mehrere gravierende Sicherheitslücken in Microsoft Azure.
Die Ursache ist ein kleiner unbekannter Software Agent: Open Management Infrastructure (OMI), welcher in vielen Azure Services eingebunden ist. Wenn eine virtuelle Linux Maschine in der Cloud aufgesetzt wird, wird der OMI Agent automatisch deployed. Dies hat zur Folge, dass schätzungsweise Tausende Azure Kunden und Millionen von Endpunkten betroffen sind.
Microsoft publizierte gestern 4 CVEs und stellte einen Patch bereit. Azure Kunden sind angehalten diese Patches zeitnah zu installieren.
- CVE-2021-38647 – Unauthenticated RCE as root (Severity: 9.8)
- CVE-2021-38648 – Privilege Escalation vulnerability (Severity: 7.8)
- CVE-2021-38645 – Privilege Escalation vulnerability (Severity: 7.8)
- CVE-2021-38649 – Privilege Escalation vulnerability (Severity: 7.0)
Wer ist verwundbar?
Azure Kunden mit Linux-Maschinen (das sind über die Hälfte aller Azure-Instanzen) welche folgende Services/Tools nutzen:
- Azure Automation
- Azure Automatic Update
- Azure Operations Management Suite (OMS)
- Azure Log Analytics
- Azure Configuration Management
- Azure Diagnostics
Weiter sind auch Microsoft Kunden betroffen, da OMI unabhängig unter Linux installiert werden kann. Beispielsweise ist OMI im System Center für Linux, der Microsoft Server Management Lösung.
Wie funktioniert es?
Wenn Nutzer einer dieser beliebten Services nutzen, wird OMI im Hintergrund mitinstalliert, mit so hohen Rechten wie möglich. Dies geschieht ohne das explizite Einwilligen oder Wissen von Nutzern. Da Azure nahezu keine Dokumentation über OMI bereitstellt, haben die meisten Kunden noch nie davon gehört.
Drei der entdeckten Schwachstellen erlauben es Nutzern mit geringen Privilegien die höchste Berechtigung auf der Maschine zu erlangen. Die vierte Verwundbarkeit mit einem Score von 9.8 von 10 erlaubt remote code execution (RCE). Gewisse Azure Produkte wie das Configuration Management öffnen einen HTTPS Port (5986). Die meisten Azure Services mit OMI werden ohne diesen offenen port deployed.
In Fällen, in welchen die OMI Ports offen gegen das Internet sind, erlaubt es Angreiffern sich Zutritt zu verschaffen und sich lateral in der Azure Umgebung zu bewegen. Der Heilige Gral für einen Angreifer.
Die Forscher waren erstaunt, wie einfach die Ausnutzung der Schwachstelle war. Ein Angreifer muss lediglich ein Packet ohne Auth-Header an den Computer schicken und erhält dadurch root-Rechte!
Quelle: wiz.io
Supply-Chain-Attacken auf dem Vormarsch
Damit reihen sich diese vier Schwachstellen in die immer länger werdende Liste der Supply-Chain-Angriffen. OMI ist ein Open source Projekt von Microsoft und «The Open Group». Das GitHub-Repo hat gerade mal 25 Contributers und dennoch ist es für die Verwundbarkeit tausender Azure Kunden verantwortlich. Die Forscher von WIZ stellten in ihrem Bericht die Maturität dieses Projekts massiv in Frage.
Wie kann ich mich schützen?
Erkennung
Überprüfen der OMI Version. Die aktuelle version ist Version 1.6.8.1 und wird über den Parent Azure Service installiert. System Center Deployments von OMI sind einem grösseren Risikon ausgesetzt, da die Linux-Agents veraltet sind. Nutzer welche immer noch System Center mit OMI-basiertem Linux verwenden müssen den OMI-Agent manuell updaten. Mit folgenden Befehlen kann die OMI-Version überprüft werden:
Debian Syteme: (z.B. Ubuntu): dpkg -l omi
Redhat basierte Systeme (z.B. Fedora, CentOS, RHEL): rpm -qa omi
Falls OMI nicht installiert ist, erscheint kein Resultat und das System ist somit nicht von diesen Schwachstellen betroffen.
Behebung
Microsoft hat einen Patch (1.6.8.1) veröffentlicht, welche dringend installiert werden soll. Falls OMI mit den offenen Ports 5985, 5986 oder 1270 betrieben wird sollte der Netzwerkzugang schnellstmöglich reduziert werden um gegen die RCE-Verwundbarkeit (CVE-2021-38647) vorzugehen. Sind Sie sich nicht sicher oder wünschen Sie Unterstützung bei der Behebung dieser Schwachstellen? Zögern Sie nicht uns zu kontaktieren!
Haben Sie Fragen zum Ransomware Readiness Check und wünschen eine unverbindliche Kontaktaufnahme?