Azure Functions-Sicherheitslücke beweist, dass Cloud-Benutzer nicht immer die Kontrolle haben

  • Eine neu entdeckte Azure Functions-Schwachstelle ermöglicht es einem Angreifer, seine Privilegien zu erweitern und aus dem Azure Functions-Docker auf den Docker-Host zu gelangen.

    Nach einer internen Bewertung hat Microsoft festgestellt, dass die Schwachstelle keine Sicherheitsauswirkungen auf Azure Functions-Benutzer hat, da der Docker-Host selbst durch eine Microsoft Hyper-V-Grenze geschützt wird, so die Forscher von Intezer, die die Schwachstelle entdeckt haben. Basierend auf ihren Erkenntnissen hat Microsoft seitdem Änderungen an block/etc und den /sys-Verzeichnissen vorgenommen.

    Azure Functions, im Wesentlichen das Microsoft-Äquivalent zum Lambda-Dienst von Amazon Web Services, arbeitet als serverloser Rechendienst, mit dem Benutzer Code ausführen können, ohne Infrastruktur bereitstellen oder verwalten zu müssen.

    Eine Video-Demonstration der Schwachstelle, die im Blog von Intezer zu sehen ist, imitiert einen Angreifer, der Azure Functions ausführt und seine Privilegien eskaliert, um eine vollständige Flucht auf den Docker-Host zu erreichen. Das Video und die begleitende Untersuchung folgen auf andere Intezer-Berichte der letzten Monate, die Schwachstellen in Microsoft Azure Network Watcher und Azure App Services identifizierten.

    Die jüngste Schwachstelle unterstreicht, dass Schwachstellen manchmal außerhalb der Kontrolle des Cloud-Nutzers liegen und Angreifer durch anfällige Software von Drittanbietern einen Weg ins Innere finden können. Die Reduzierung der Angriffsfläche ist entscheidend, aber Unternehmen müssen der Laufzeitumgebung Priorität einräumen, um sicherzustellen, dass kein bösartiger Code in ihren Systemen lauert.

    Wenn Unternehmen neue Ansätze wie Serverless- und Micro-Services-Architekturen einführen, so Jigar Shah, Vice President bei Valtix, riskieren sie Probleme, wenn sie sich nur auf die zugrunde liegende Sicherheit dieser Dienste oder die des Cloud-Anbieters verlassen.

    “Das alte Mantra der Reduzierung der Angriffsfläche und der Defense-in-Depth ist immer noch entscheidend”, sagte Shah. “Verwenden Sie eine attributbasierte Zugriffskontrolle und wenden Sie URL-Filterung für alle ausgehenden Ströme an. Network Security 101 verschwindet nicht, weil wir in öffentliche Clouds umgezogen sind.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com