Как и большинство облачных и локальных сред, Microsoft Azure также выступает в качестве вектора атаки для злоумышленников. Поскольку уязвимость безопасности Azure потенциально может затронуть миллионы потребителей, важно, чтобы Microsoft своевременно исправляла такие проблемы. Теперь компания раскрыла подробности об одной такой проблеме, которую она недавно исправила в Azure Service Fabric.
Для тех, кто не знает, Azure Service Fabric — это служба, которая позволяет людям размещать приложения в управляемых средах в облаке Azure. Фактически, некоторые проекты Microsoft созданы с помощью Azure Service Fabric, включая Cortana/Bing, Power BI, Skype for Business, Azure SQL Database и другие.
30 января компания Palo Alto Networks в частном порядке сообщила Microsoft об уязвимости в безопасности Azure Service Fabric. Проблема была названа «FabricScape», и хотя детали эксплойта носят технический характер — вы все еще можете подробно прочитать о нем здесь — вот краткое изложение, предоставленное Microsoft:
• Шаг 1. Злоумышленник должен скомпрометировать контейнерную рабочую нагрузку, развернутую владельцем кластера Linux SF.
• Шаг 2: Враждебный код, запущенный внутри контейнера, может заменить индексный файл, прочитанный DCA, символической ссылкой.
• Используя дополнительную временную атаку, злоумышленник может получить контроль над ПК, на котором размещен узел SF.
Хотя проблема присутствовала как в кластерах Windows, так и в кластерах Linux, Microsoft определила, что ее можно использовать только в последнем случае. Успешная атака на скомпрометированный контейнер Linux могла позволить злоумышленнику выполнить атаку повышения привилегий на узле, а затем получить контроль над всем кластером.
После того, как 30 января об ошибке было сообщено в Microsoft в частном порядке, компания внедрила исправление 24 мая. Подробная информация об эксплойте была также сообщена клиентам, использующим механизмы автоматического обновления. Затем, 9 июня, были опубликованы публичные рекомендации по использованию Azure Service Fabric. Наконец, 14 июня Microsoft публично развернула исправление для клиентов с включенными автоматическими обновлениями. Тем временем те, у кого не включены автоматические обновления, были проинформированы о проблеме через Azure Service Health.
Узнать другие подробности можно здесь.
