Η Microsoft διόρθωσε σιωπηλά ένα σημαντικό ελάττωμα ασφαλείας στην υπηρεσία Azure Container Service (ACS) αφού ένας εξωτερικός ερευνητής προειδοποίησε ότι ένα χαρακτηριστικό buggy επέτρεπε επιθέσεις παράκαμψης δικτύου μεταξύ μισθωτών.
Η ευπάθεια, που τεκμηριώθηκε από ερευνητές στο Mnemonic, ουσιαστικά αφαίρεσε ολόκληρο το δίκτυο και την περίμετρο ταυτότητας γύρω από τις απομονωμένες στο διαδίκτυο παρουσίες Azure Cognitive Search και επέτρεψε την πρόσβαση μεταξύ των ενοικιαστών στο επίπεδο δεδομένων των παρουσιών ACS από οποιαδήποτε τοποθεσία, συμπεριλαμβανομένων περιπτώσεων χωρίς ρητή έκθεση στο δίκτυο.
Σύμφωνα με τον ερευνητή της Mnemonic Emilien Socchi, το ελάττωμα επιδιορθώθηκε σιωπηλά από τη Microsoft στα τέλη Αυγούστου 2022, περίπου έξι μήνες μετά την πρώτη αναφορά του.
Η έκθεση,με το παρατσούκλι ACSESSED, επηρέασε όλες τις παρουσίες της υπηρεσίας κοντέινερ του Azure που ενεργοποίησαν τη δυνατότητα “Να επιτρέπεται η πρόσβαση από την πύλη”.
«Ενεργοποιώντας αυτή τη δυνατότητα, οι πελάτες επέτρεψαν ουσιαστικά την πρόσβαση μεταξύ μισθωτών στο επίπεδο δεδομένων των παρουσιών τους ACS από οποιαδήποτε τοποθεσία, ανεξάρτητα από τις πραγματικές διαμορφώσεις δικτύου της τελευταίας. Λάβετε υπόψη ότι αυτό περιλάμβανε περιπτώσεις που εκτέθηκαν αποκλειστικά σε ιδιωτικά τελικά σημεία, καθώς και περιπτώσεις χωρίς ρητή έκθεση στο δίκτυο, όπως αυτή που ανέπτυξα για έρευνα (δηλαδή περιπτώσεις χωρίς ιδιωτικό, υπηρεσία ή δημόσιο τελικό σημείο)», προειδοποίησε ο ερευνητής.
«Με το απλό πάτημα ενός κουμπιού, οι πελάτες μπόρεσαν να ενεργοποιήσουν μια ευάλωτη λειτουργία, η οποία αφαίρεσε ολόκληρη την περίμετρο του δικτύου που είχε διαμορφωθεί γύρω από τις παρουσίες ACS τους, χωρίς να παρέχει καμία πραγματική περίμετρο ταυτότητας (δηλαδή οποιοσδήποτε θα μπορούσε να δημιουργήσει ένα έγκυρο διακριτικό πρόσβασης για το ARM). », πρόσθεσε ο Socchi.
Ο ερευνητής της Mnemonic είπε ότι η Microsoft πλήρωσε ένα μπόνους 10.000 δολαρίων και αύξησε το επίπεδο κινδύνου από μέτριο σε σημαντικό λόγω του κινδύνου μεταξύ των ενοικιαστών και της ευκολίας εκμετάλλευσης.
Κάποια στιγμή κατά τη διάρκεια της διαδικασίας αποκάλυψης, η Microsoft είπε ότι η ενημέρωση κώδικα καθυστέρησε επειδή η επιδιόρθωση απαιτούσε «μια σημαντική αλλαγή στο επίπεδο σχεδιασμού».