{"id":257464,"date":"2021-09-09T09:40:40","date_gmt":"2021-09-09T07:40:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257464"},"modified":"2023-05-02T12:51:42","modified_gmt":"2023-05-02T10:51:42","slug":"nchste-azure-container-schwachstelle-ermglichte-datenklau","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/09\/nchste-azure-container-schwachstelle-ermglichte-datenklau\/","title":{"rendered":"Nächste Azure Container-Schwachstelle ermöglichte Datenklau"},"content":{"rendered":"

[English<\/a>]Microsoft hat seine Azure-Kunden in einer Warnung \u00fcber eine Sicherheitsl\u00fccke informiert, die Hackern den Zugriff auf Daten erm\u00f6glicht haben k\u00f6nnte. Die Pointe: Es handelte sich um Container, deren Code eine bekannte Schwachstelle aufwies, die nicht gepatcht worden war. Microsoft hat nun die Programme aktualisiert. Das ist jetzt der zweite Fall binnen weniger Tage, wo gravierende Schwachstellen in Azure-Containern \u00f6ffentlich wurden. Momentan f\u00fchle ich mich etwas wie bei der \"Los Wochos\"-Aktion eines Burgerbr\u00e4ters, wo es einige Zeit um ein bestimmtes Thema geht.<\/p>\n

<\/p>\n

\"\"Ich kann mir ja nicht helfen, ich sitze hier und lache mir ins F\u00e4ustchen – aber diese Steilvorlage konnte ich mir nicht entgehen lassen. On-Premises war gestern, \"wir machen jetzt in der Cloud rum\", ist ja bei vielen Firmen bzw. deren Management, die Devise. Skalierbar, die Administration und das Patchen wird vom Cloud-Provider \u00fcbernommen, und das Administratoren-Viech, welches \"wir\" f\u00fcr unsere On-Premises L\u00f6sungen gebraucht haben, k\u00f6nnen wir uns sparen – so die Argumentation im Management – zumindest mein Eindruck. Als ich dann f\u00fcr den heutigen Beitrag im Blog nachgeschaut habe, d\u00e4mmerte die Erkenntnis, dass den Leuten in der Cloud die gleichen oder \u00e4hnlich Probleme wie bei On-Premises-L\u00f6sungen auf die F\u00fc\u00dfe regnen (siehe Links am Artikelende). Erst Ende August hatte ich im Blog-Beitrag Azure: Tausende Kunden von ChaosDB-Schwachstelle in Azure Cosmos DB bedroht<\/a> \u00fcber eine gravierende Schwachstelle im Azure-Umfeld berichtet. Jetzt folgt die n\u00e4chste Sicherheitsmeldung zu Microsofts Azure.<\/p>\n

Microsoft warnt Azure-Kunden vor neuer Schwachstelle<\/h2>\n

Das Unternehmen warnt Kunden vor einer neuen Schwachstelle<\/a>, die einen Datendiebstahl erm\u00f6glicht h\u00e4tte. K\u00fcrzlich hat Microsoft eine Schwachstelle in Azure Container Instances (ACI) behoben, die Benutzern erm\u00f6glichte, auf die Informationen anderer Kunden im ACI-Dienst zuzugreifen. Diese Schwachstelle wurde Microsoft von einem Sicherheitsforscher gemeldet.<\/p>\n

Das Sicherheitsteam bem\u00fcht sich zwar um Entwarnung und schreibt, dass die interne Untersuchung ergab, dass es keinen unbefugten Zugriff auf Kundendaten gegeben habe. Sicherheitsforscher Kevin Beaumont bringt es aber in folgendem Tweet<\/a> auf den Punkt: Das Azure-Sicherheitsmodel basiert auf dem Prinzip Hoffnung, dass Sicherheitsforscher die Schwachstellen auch melden.<\/p>\n

<\/a><\/p>\n

Microsoft gibt an, dass man aus Vorsicht wir Kunden mit Containern, die auf denselben Clustern wie die der Sicherheitsforscher laufen, \u00fcber Service Health Notifications im Azure-Portal \u00fcber dies Schwachstelle benachrichtigt. Wer keine Benachrichtigung erhalten hat, braucht keine Ma\u00dfnahmen in Bezug auf diese Schwachstelle durchzuf\u00fchren. In diesem Artikel<\/a> gibt Microsoft Hinweise, was betroffenen Kunden tun sollen.<\/p>\n

Palo Alto entdeckt Schwachstelle<\/h2>\n

Sicherheitsforscher Ariel Zelivansk von Palo-Alto war auf die Schwachstelle gesto\u00dfen und hat gegen\u00fcber Reuters<\/a> etwas mehr \u00fcber diesen Sachverhalt herausgelassen (Microsoft blieb auf Nachfrage von Reuters Antworten schuldig). Der Sicherheitsforscher sagte Reuters, dass es seinem Team gelungen sei, das Azure-System f\u00fcr Container, in denen Programme f\u00fcr Benutzer gespeichert werden, zu knacken.<\/p>\n

Die betroffenen Azure-Container verwendeten Code, der eine bekannte Schwachstelle enthielt, und Microsoft hat es vers\u00e4umt, diesen Code in den Azure-Container zu aktualisieren, um diese Schwachstelle zu beheben. Infolgedessen konnte das Palo-Alto-Team schlie\u00dflich die volle Kontrolle \u00fcber einen Cluster erlangen, der Container von anderen Nutzern enthielt.<\/p>\n

<\/a><\/p>\n

Da ist der Elefant im Raum: Wir migrieren in die Cloud, da \u00fcbernimmt der Cloud-Anbieter das Patchen. Falls der Cloud-Anbieter patzt, siehst Du halt alt aus, aber auch egal, das machen jetzt halt alle so. Zur Ehrenrettung muss man sagen, nach dem dezenten Hinweis von Palo-Alto hat Microsoft gepatcht. Kevin Beaumont hat es in obigem Tweet mit einem Textausriss des Reuters-Artikels und einem Bildchen<\/a> auf den Punkt gebracht – mehr ist dazu nicht zu sagen. Bei Bedarf lest ihr die Details in den verlinkten Beitr\u00e4gen von Microsoft und Reuters nach.<\/p>\n

Details von Palo Alto<\/h3>\n

Erg\u00e4nzung:<\/strong> Von Palo Alto liegt mir eine Mail vor, die noch einige Informationen zum Thema enth\u00e4lt. Dazu hei\u00dft es, Unit 42, das Threat Intelligence-Team von Palo Alto Networks, habe die erste bekannte Schwachstelle aufgedeckt, die es einem Nutzer eines Public-Cloud-Dienstes erm\u00f6glichen k\u00f6nnte, aus seiner Umgebung auszubrechen und Code in Umgebungen anderer Nutzer desselben Public-Cloud-Dienstes auszuf\u00fchren.<\/p>\n