Check Point trova e corregge i difetti di sicurezza di Microsoft Azure

Un utente della rete Azure avrebbe potuto potenzialmente assumere il controllo dell’intero server

I ricercatori di Check Point hanno scoperto che un utente della rete Azure avrebbe potuto potenzialmente assumere il controllo dell’intero server

Il primo difetto di sicurezza è stato trovato in Azure Stack, il secondo in Azure App Service. Il difetto di Azure Stack avrebbe permesso a un hacker di fare screenshot e ottenere informazioni sensibili delle macchine in esecuzione su Azure.

Invece, la falla in Azure App avrebbe permesso a un hacker di prendere il controllo dell’intero server Azure, e di conseguenza controllare il codice aziendale di un’impresa.

Azure Stack: l’aggressore cattura screenshot e info sensibili

Azure Stack è una soluzione software di cloud computing sviluppata da Microsoft che è stata progettata per aiutare le imprese a fornire i servizi Azure dal proprio data center.

I ricercatori di Check Point sono stati in grado di fare screenshot e prelevare informazioni sensibili dell’occupante e delle macchine in esecuzione.

Al fine di eseguire l’exploit, un hacker otterrebbe prima di tutto l’accesso al portale Azure Stack, consentendogli di inviare richieste HTTP non autenticate che forniscono screenshot e informazioni sulle macchine dell’infrastruttura.

Azure App: l’hacker prende il controllo di server e codice aziendale

Azure App Service è una PaaS completamente gestita che integra i siti web Microsoft Azure, i servizi mobile e altri servizi.

Azure App Service offre agli utenti diverse funzionalità come il provisioning, la distribuzione e la creazione di app iOS, Android e Windows, l’automazione dei processi aziendali unite a un’esperienza di progettazione visiva e l’integrazione con applicazioni SaaS.

Check Point ha dimostrato che un aggressore può compromettere le applicazioni, i dati e gli account creando un utente gratuito in Azure Cloud ed eseguendo funzioni Azure dannose.

Il risultato finale lo porterebbe ad assumere il controllo dell’intero server Azure, e di conseguenza prendere il controllo di tutto il codice aziendale.

Il processo di ricerca di Check Point

I ricercatori hanno iniziato installando Azure Stack Development Kit (ASDK) sui loro server. Dopo l’installazione di ASDK, hanno mappato i luoghi in cui pensavano di poter trovare delle vulnerabilità.

Poiché Azure Stack ha caratteristiche simili al cloud pubblico di Azure, i ricercatori di Check Point si sono concentrati su questi vettori.

Divulgazione responsabile

Check Point ha responsabilmente comunicato la sua scoperta a Microsoft.

La prima falla nella sicurezza è stata comunicata il 19 gennaio 2019, con la conseguente creazione di CVE-2019-1234 da parte di Microsoft.

Il secondo difetto, segnalato il 27 giugno 2019, con la creazione di CVE-2019-1372 da parte di Microsoft.

Insieme, Check Point e Microsoft hanno lavorato a stretto contatto per risolvere i problemi e garantire un cloud più sicuro.

Entro la fine del 2019 sono state rese note al pubblico le patch complete di entrambi i difetti di sicurezza in Azure.