Una de las razones por las que algunas organizaciones prefieren los servicios de nube híbrida como Microsoft Azure Stack es la opción de mantener los datos confidenciales en las instalaciones de forma segura.
Pero los analistas de Check Point Research expusieron dos vulnerabilidades críticas de seguridad en la plataforma local hace algún tiempo, y ahora han publicado un informe que detalla cómo lo hicieron.
Algunas solicitudes de servicio no requieren validación en Azure Stack
Los investigadores pudieron demostrar cómo un actor malicioso podría explotar una supervisión aparentemente menor en el diseño de software para causar serios problemas.
Se sorprendieron al descubrir que algunas solicitudes en Azure no requerían autenticación. Esa vulnerabilidad les permitió acceder a recursos internos específicos de Azure Stack.
En nuestro caso, debido a que DataService no requería autenticación, esto eventualmente nos permitió obtener capturas de pantalla e información sobre inquilinos y máquinas de infraestructura.
El segundo problema de seguridad que identificaron es la falsificación de solicitudes del lado del servidor (SSRF). Esta falla les permitió aprovechar la falta de validación de solicitudes en Azure mediante la implementación de una solicitud especialmente diseñada a través del portal de usuario de la plataforma.
Cómo lo lograron
Los analistas comenzaron configurando Azure Stack en su propia computadora para crear una nube privada. Luego identificaron «DataService» como uno de los servicios en la plataforma que no requería validación.
Tras una mayor exploración de las API, descubrieron que podían obtener mucha información sobre las máquinas de Azure Stack, como la identificación del dispositivo y las especificaciones del sistema.
Finalmente, los investigadores podrían invocar ciertas funciones y tomar capturas de pantalla en máquinas específicas. Al ejecutar una violación de SSRF, lograron acceder al «DataService» y entregar una solicitud de captura de pantalla sin ningún obstáculo del lado del servidor.
Los clientes de Azure Stack ya no tienen que preocuparse por la amenaza de suplantación de identidad porque Microsoft le proporcionó una actualización de seguridad. Aún así, uno no puede evitar preguntarse si la nube pública de Azure alguna vez tuvo el mismo problema, considerando que comparte características similares con la alternativa local.
Check Point Research no pudo someter la infraestructura de nube pública de Microsoft a una prueba similar debido a las complicaciones involucradas.
Azure ha recorrido un largo camino, sin embargo. Según su desempeño financiero para el segundo trimestre , el producto es vital para el crecimiento general de los ingresos de Microsoft.
Con suerte, la solución de nube pública valida todas las solicitudes de servicio para minimizar el riesgo de intrusión de SSRF.