{"id":257697,"date":"2021-09-15T17:08:19","date_gmt":"2021-09-15T15:08:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257697"},"modified":"2021-09-17T09:24:47","modified_gmt":"2021-09-17T07:24:47","slug":"microsoft-azure-schwachstelle-omigod-in-linux-vms-patchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/15\/microsoft-azure-schwachstelle-omigod-in-linux-vms-patchen\/","title":{"rendered":"Microsoft Azure-Schwachstelle OMIGOD in Linux VMs patchen"},"content":{"rendered":"

[English<\/a>]Wer unter Microsoft Azure f\u00fcr Linux-VMs verantwortlich ist, muss dringend reagieren. Dort wurden stillschweigen einen Verwaltungsagenten installiert, der RCE- und LPE-Schwachstellen aufweisen. Die OMIGOD genannte Sicherheitsl\u00fccke muss manuell gepatcht werden, da kein Azure-update-Mechanismus existiert.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber den nachfolgenden Tweet<\/a> von Kevin Beaumont auf den Sachverhalt, der von seinen Entdeckern hier<\/a> thematisiert wird, aufmerksam geworden.<\/p>\n

\"OMIGOD<\/a><\/p>\n

Erg\u00e4nzung:<\/strong> In diesem Tweet<\/a> kristallisiert sich heraus, dass Kevin Beaumont sowie andere Sicherheitsforscher bereits 2018, also vor drei Jahren auf das Problem der zu weitreichenden Berechtigungen beim OMI-Agenten hingewiesen haben. Blieb von Microsoft unbeantwortet – Cloud-Sicherheit halt eben.<\/p><\/blockquote>\n

Vier Schwachstellen in OMI-Agent<\/h2>\n

Sicherheitsforscher von Wiz sind k\u00fcrzlich auf ein Risiko bei Open-Source-Code gesto\u00dfen, der insbesondere f\u00fcr Kunden\u00a0 von Cloud-Diensten treffen k\u00f6nnen. Es dreht sich um den wenig bekannten Software-Agenten namens Open Management Infrastructure (OMI). Open Management Infrastructure (OMI) ist ein Open-Source-Projekt, das von Microsoft in Zusammenarbeit mit The Open Group gef\u00f6rdert wird.<\/p>\n

Es handelt sich im Wesentlichen um die Windows Management Infrastructure (WMI) f\u00fcr UNIX\/Linux-Systeme. Mit OMI lassen sich Daten f\u00fcr Statistiken sammeln und Konfigurationen in der Linux-Umgebung synchronisieren.<\/p>\n

Dank der Benutzerfreundlichkeit und der Abstraktion, die OMI bietet, wird es in gro\u00dfem Umfang von Azure-Diensten verwendet. Das schlie\u00dft auch die Azure Operations Management Suite (OMS), Azure Insights und Azure Automation ein. Die Wiz-Leute schreiben:<\/p>\n

Wenn Kunden eine virtuelle Linux-Maschine in ihrer Cloud einrichten, wird der OMI-Agent ohne ihr Wissen automatisch installiert, wenn sie bestimmte Azure-Dienste aktivieren. Bei ungepatchten Versionen dieses Agenten k\u00f6nnen Angreifer vier Schwachstellen leicht ausnutzen, um Root-Rechte zu erlangen und b\u00f6sartigen Code remote auszuf\u00fchren (z. B. um Dateien gegen L\u00f6segeld zu verschl\u00fcsseln).<\/p><\/blockquote>\n

Der OMI-Agent l\u00e4uft aber mit root-Berechtigungen. Ist die HTTP API (oder ein HTTPS-Port) einer aufgesetzten Linux VM unter Azure per Internet erreichbar, k\u00f6nnten Angreifer die nachfolgend aufgelisteten vier Schwachstellen remote ausnutzen und als root arbeiten. Standardm\u00e4\u00dfig sollen die HTTPS-Port sowohl bei Standalone Linux-Installationen und im Azure Configuration Management oder System Center Operations Manager (SCOM) aktiv sein. Die Linux VMs sind f\u00fcr Angreifer also offen wie ein Scheunentor. Die Sicherheitsforscher haben dieses Quartett von 0-Days Schwachstellen OMIGOD getauft (der erste Gedanke, als die Auswirkungen der Schwachstelle absehbar waren.<\/p>\n

Die Sicherheitsforscher sch\u00e4tzen, dass Tausende von Azure-Kunden und Millionen von Endpunkten betroffen sind. In einer kleinen Stichprobe von Azure-Tenants, die von Wiz analysiert wurden, waren \u00fcber 65 % unwissentlich gef\u00e4hrdet. Die Sicherheitsforscher von Wiz haben die Schwachstellen an Microsoft gemeldet.<\/p>\n

Microsoft stellt Sicherheitsupdates bereit<\/h2>\n

Zum 14. September 2021 hat Microsoft die folgenden CVEs f\u00fcr OMIGOD ver\u00f6ffentlicht. F\u00fcr die betreffenden Schwachstellen gibt es jeweils einen Patch:<\/p>\n