{"id":269968,"date":"2022-06-30T16:53:22","date_gmt":"2022-06-30T14:53:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=269968"},"modified":"2022-06-30T23:00:41","modified_gmt":"2022-06-30T21:00:41","slug":"azure-container-escape-schwachstelle-cve-2022-30137-in-microsofts-service-fabric-geschlossen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/30\/azure-container-escape-schwachstelle-cve-2022-30137-in-microsofts-service-fabric-geschlossen\/","title":{"rendered":"Azure: Container Escape-Schwachstelle (CVE-2022-30137) in Microsofts Service Fabric geschlossen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/06\/30\/azure-container-escape-schwachstelle-cve-2022-30137-in-microsofts-service-fabric-geschlossen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher von Palo Alto Networks sind in Microsofts Service Fabric auf eine Container-Escape-Schwachstelle gesto\u00dfen, die sich dann FabricScape genannt haben. Die Schwachstelle erm\u00f6glichte den Ausbruch aus Containern in Microsofts Service Fabric, die h\u00e4ufig mit Azure verwendet wird. Palo Alto Networks hat mit Microsoft kooperiert, um diese Schwachstelle zu beseitigen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/18076c9e7d8f4b3e8b57be6087054bc9\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin \u00fcber nachfolgenden <a href=\"https:\/\/twitter.com\/Unit42_Intel\/status\/1542086728776912898\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf diesen Sachverhalt zur Container Escape-Schwachstelle (CVE-2022-30137) in Microsofts Service Fabric gesto\u00dfen, der im Artikel <a href=\"https:\/\/unit42.paloaltonetworks.com\/fabricscape-cve-2022-30137\/\" target=\"_blank\" rel=\"noopener\">FabricScape: Escaping Service Fabric and Taking Over the Cluster<\/a> n\u00e4her beschrieben ist. Der Titel umrei\u00dft es bereits: Durch Ausbruch aus den unter Microsoft Azure gehosteten Containern per Microsofts Service Fabric konnten mittels der Schwachstelle (CVE-2022-30137) komplette Cluster \u00fcbernommen werden.<\/p>\n<p><a href=\"https:\/\/twitter.com\/Unit42_Intel\/status\/1542086728776912898\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/f5po0kA.png\" \/><\/a><\/p>\n<p>Es gibt einen zweiten Beitrag <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2022\/06\/fabricscape\/\" target=\"_blank\" rel=\"noopener\">Uncovering FabricScape<\/a>, der die Details etwas zusammen fasst. Die Sicherheitsforscher von Unit 42 identifizierten mit FabricScape (CVE-2022-30137) eine Schwachstelle von erheblichem Schweregrad in Microsofts Service Fabric. Die Software wird h\u00e4ufig mit Azure verwendet \u2013 und die Schwachstelle erm\u00f6glicht Linux-Containern eine Privilegien-Eskalation. So lassen sich Root-Privilegien auf dem Knoten erlangen, und der Angreifer hat dann alles, um die Knoten im Cluster zu kompromittieren. Die Schwachstelle k\u00f6nnte auf Containern, die f\u00fcr Laufzeitzugriff konfiguriert sind, der standardm\u00e4\u00dfig jedem Container gew\u00e4hrt wird, ausgenutzt werden.<\/p>\n<p>Zur Einordnung: Service Fabric hostet laut Microsoft mehr als 1 Million Anwendungen und l\u00e4uft t\u00e4glich auf Millionen von Kernen. Die Software versorgt viele Azure-Angebote, darunter Azure Service Fabric, Azure SQL Database und Azure CosmosDB, sowie andere Microsoft-Produkte wie Cortana und Microsoft Power BI.<\/p>\n<p>Mithilfe eines von den Sicherheitsforschern kontrollierten Containers, der eine kompromittierte Arbeitslast simuliert, konnten diese die Schwachstelle in Azure Service Fabric ausnutzen. Einige andere Versuche, die Schwachstelle bei Azure-Angeboten auszunutzen, die auf verwalteten Multi-Tenant Service Fabric-Clustern basieren, schlugen allerdings fehl. Hintergrund ist, dass Microsoft den Laufzeitzugriff auf Container dieser Angebote deaktiviert.<\/p>\n<p>Die Sicherheitsforscher von Palo Alto Networks haben eng mit Microsoft (MSRC) zusammengearbeitet, um das Problem zu beheben. Die Schwachstelle wurde am 14. Juni 2022 vollst\u00e4ndig behoben. Microsoft hat dazu einen Patch f\u00fcr Azure Service Fabric ver\u00f6ffentlicht. Durch den Patch wurde das Problem in Linux-Clustern bereits entsch\u00e4rft. Zudem wurden auch interne Produktionsumgebungen von Angeboten und Produkten, die von Service Fabric betrieben werden, aktualisiert.<\/p>\n<p>Die Sicherheitsforscher raten Kunden, die Azure Service Fabric ohne aktivierte automatische Updates betreiben, und ihre Linux-Cluster auf die neueste Version von Service Fabric zu aktualisieren. Kunden, deren Linux-Cluster automatisch aktualisiert werden, m\u00fcssen keine weiteren Ma\u00dfnahmen ergreifen. Sowohl Microsoft als auch Palo Alto Networks empfehlen, die Ausf\u00fchrung von nicht vertrauensw\u00fcrdigen Anwendungen in Service Fabric zu vermeiden.<\/p>\n<p>Obwohl keine Angriffe in freier Wildbahn bekannt sind, die diese Schwachstelle erfolgreich ausgenutzt haben, wird Unternehmen dringend geraten, sofort Ma\u00dfnahmen zu ergreifen, um festzustellen, ob ihre Umgebungen anf\u00e4llig sind und und gegebenenfalls schnell Patches zu implementieren. Details sind <a href=\"https:\/\/unit42.paloaltonetworks.com\/fabricscape-cve-2022-30137\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> nachzulesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von Palo Alto Networks sind in Microsofts Service Fabric auf eine Container-Escape-Schwachstelle gesto\u00dfen, die sich dann FabricScape genannt haben. Die Schwachstelle erm\u00f6glichte den Ausbruch aus Containern in Microsofts Service Fabric, die h\u00e4ufig mit Azure verwendet wird. Palo Alto Networks &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/30\/azure-container-escape-schwachstelle-cve-2022-30137-in-microsofts-service-fabric-geschlossen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426,7459],"tags":[4375,1171,4328,3836],"class_list":["post-269968","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","category-software","tag-azure","tag-cloud","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269968","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=269968"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269968\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=269968"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=269968"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=269968"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}