{"id":295863,"date":"2024-06-06T00:01:00","date_gmt":"2024-06-05T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295863"},"modified":"2024-06-07T16:14:50","modified_gmt":"2024-06-07T14:14:50","slug":"tenable-entdeckt-kritische-schwachstelle-in-microsoft-azure-unternehmen-will-nicht-patchen-juni-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/06\/tenable-entdeckt-kritische-schwachstelle-in-microsoft-azure-unternehmen-will-nicht-patchen-juni-2024\/","title":{"rendered":"Tenable entdeckt kritische Schwachstelle in Microsoft Azure; Unternehmen will nicht patchen (Juni 2024)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2019\/07\/Azure.jpg\" width=\"86\" height=\"50\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/06\/06\/tenable-discovers-critical-vulnerability-in-microsoft-azure-company-wont-patch-june-2024\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die Sicherheitsexperten von Tenable sind in Microsoft Azure auf eine Schwachstelle gesto\u00dfen, die sie als kritisch einstufen. Microsoft hat aber verlauten lassen, dass man diese Schwachstelle, die mehr als zehn Azure Services betrifft, nicht patchen m\u00f6chte. Das hei\u00dft, die Schwachstelle wird nicht geschlossen.<\/p>\n<p><!--more--><\/p>\n<h2>Schwachstelle in Azure<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/b49533159fe348b7b49c91bfc6d4b12d\" alt=\"\" width=\"1\" height=\"1\" \/>Das Ganze erinnert mich ein wenig an den Sachverhalt, den ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-azure-schwachstelle-seit-mrz-2023-ungepatcht-schwere-kritik-von-tenable-teil-2\/\">Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable \u2013 Teil 2<\/a> aufgegriffen habe. Seinerzeit hat Microsoft die Schwachstelle nach \u00f6ffentlicher Kritik gepatcht (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/06\/nach-tenable-kritik-microsoft-hat-azure-schwachstelle-nun-doch-schneller-im-august-2023-gefixt\/\">Nach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt<\/a>).<\/p>\n<p>Nun hat das Cloud Research Team von Tenable eine neue, als kritisch eingestufte, Schwachstelle in Azure entdeckt. Laut einer Mitteilung von Tenable betrifft die Schwachstelle die nachfolgenden Azure Services.<\/p>\n<ul>\n<li>Azure Application Insights<\/li>\n<li>Azure DevOps<\/li>\n<li>Azure Machine Learning<\/li>\n<li>Azure Logic Apps<\/li>\n<li>Azure Container Registry<\/li>\n<li>Azure Load Testing<\/li>\n<li>Azure API Management<\/li>\n<li>Azure Data Factory<\/li>\n<li>Azure Action Group<\/li>\n<li>Azure AI Video Indexer<\/li>\n<li>Azure Chaos Studio<\/li>\n<\/ul>\n<h3>Azure Service Tags und Firewall<\/h3>\n<p>Die Sicherheitsl\u00fccke betrifft Azure-Kunden, deren Firewall-Regeln auf Azure Service Tags basieren. Azure Service Tags vereinfachen die Netzwerkisolierung innerhalb von Azure, indem sie bestimmte IP-Bereiche von Azure-Diensten gruppieren. Diese Tags k\u00f6nnen verwendet werden, um Netzwerksicherheitsregeln zu definieren und diese Regeln konsistent auf mehrere Azure-Ressourcen anzuwenden. Im Wesentlichen bieten Azure Service Tags eine bequeme M\u00f6glichkeit zur Verwaltung von Zugriffskontrollen, wie Firewall-Regeln oder Konfigurationen von Netzwerksicherheitsgruppen (NSG).<\/p>\n<p>Laut Tenable erm\u00f6glicht die Schwachstelle in Azure es einem Angreifer es aber, Azure Service Tags basierende Firewall-Regeln zu umgehen. Dazu muss der Angreifer einen Requests von vertrauensw\u00fcrdigen Services f\u00e4lschen. Die Sicherheitsforscher schreiben, ein Bedrohungsakteur k\u00f6nnte von der User-Firewall akzeptierte Service Tags missbrauchen, wenn keine zus\u00e4tzlichen Validierungsmechanismen vorhanden sind.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Azure Firewall bypassing\" src=\"https:\/\/www.tenable.com\/sites\/default\/files\/inline\/images\/Diagram%20shows%20how%20attackers%20would%20be%20able%20to%20access%20other%20internal%20and%20private%20Azure%20services_0.gif\" alt=\"Azure Firewall bypassing\" width=\"563\" height=\"312\" \/><br \/>\nAzure Firewall bypassing, Source: Tenable<\/p>\n<p>Durch Ausnutzung dieser Schwachstelle k\u00f6nnte sich ein Angreifer Zugriff auf den Azure Service eines Unternehmens und andere interne und private Azure Services verschaffen. \"Diese Schwachstelle erm\u00f6glicht es einem Angreifer, serverseitig gef\u00e4lschte Anfragen zu kontrollieren und vertrauensw\u00fcrdige Azure Services zu imitieren\", erkl\u00e4rt Liv Matan, Senior Research Engineer bei Tenable. Tenable hat die Details dieser Schwachstelle im Blog-Beitrag <a href=\"https:\/\/www.tenable.com\/blog\/these-services-shall-not-pass-abusing-service-tags-to-bypass-azure-firewall-rules-customer\" target=\"_blank\" rel=\"noopener\">These Services Shall Not Pass: Abusing Service Tags to Bypass Azure Firewall Rules (Customer Action Required)<\/a> beschrieben.<\/p>\n<h3>Meldung im Januar 2024<\/h3>\n<p>Tenable hat diese Entdeckung am 24. Januar 2024 an Microsoft gemeldet und erhielt am 31. Januar 2024 die Best\u00e4tigung des Microsoft Security Response Center (MSRC), dass das Verhalten als \"Elevation of Privilege\" mit dem Schweregrad \"Wichtig\" eingestuft werde. Tenable hat auch eine Bug-Bounty-Pr\u00e4mie f\u00fcr die Meldung kassiert. Zum 2. Februar 2024 erstellt das MSRC einen umfassenden Plan zur Behebung der Schwachstelle sowie einen Zeitplan f\u00fcr die Umsetzung.<\/p>\n<h2>Microsoft will nicht patchen<\/h2>\n<p>Wer jetzt meint, es kommt bald ein Patch, sieht sich aber get\u00e4uscht. Die Verantwortlichen im MSRC beschlie\u00dfen am 26. Februar 2024, das Problem durch eine umfassende Aktualisierung der Dokumentation zu beheben und weitere Varianten der Sicherheitsl\u00fccke dort zu behandeln. Welche internen Gr\u00fcnde und technischen Randbedingungen zu dieser Entscheidung Microsofts f\u00fchrten, sind mir unbekannt. Zum 3. Juni 2024 erfolgte dann eine koordinierte Offenlegung durch Tenable.<\/p>\n<h2>Azure-Kunden m\u00fcssen handeln<\/h2>\n<p>Azure Kunden, deren Firewall-Regeln auf Azure Service Tags basieren, sind durch diese Schwachstelle gef\u00e4hrdet. Da Microsoft keinen Patch f\u00fcr diese Schwachstelle ver\u00f6ffentlichen wird, m\u00fcssen diese Azure-Kunden zeitnah handeln. Tenable empfiehlt dazu:<\/p>\n<ul>\n<li>Analysieren Sie zun\u00e4chst die Netzwerkregeln in Ihrer Azure-Umgebung f\u00fcr jeden zugeh\u00f6rigen Dienst, suchen Sie nach der Verwendung von Service-Tags, und filtern Sie die betroffenen Dienste. Gehen Sie bei den betroffenen Diensten davon aus, dass diese Ressourcen \u00f6ffentlich sind.<\/li>\n<li>Um diese Ressourcen zu sch\u00fctzen, f\u00fcgen Sie Authentifizierungs- und Autorisierungsebenen f\u00fcr diese hinzu.<\/li>\n<\/ul>\n<p>Tenable merkt an, dass Administratoren bei der Konfiguration der Netzwerkregeln f\u00fcr Azure-Dienste bedenken, dass Service-Tags kein wasserdichtes Mittel sind, um den Datenverkehr zu einem privaten Dienst zu sichern. Wenn Administratoren sicherstellen, dass eine starke Netzwerkauthentifizierung beibehalten wird, k\u00f6nnen sich die Benutzer mit einer zus\u00e4tzlichen und entscheidenden Sicherheitsebene sch\u00fctzen. In diesem Fall h\u00e4tte selbst ein Angreifer, der die Schwachstelle ausnutzt, um den Zielendpunkt zu erreichen, gro\u00dfe Schwierigkeiten, diesen Zugang auszunutzen.<\/p>\n<p>Microsoft hat dazu wohl eine zentrale Dokumentation zusammengestellt, um Kunden \u00fcber die Verwendung von Service Tags zu informieren. Tenable schreibt dazu: \"Wir empfehlen unseren Kunden dringend, sofort zu handeln. Starke Netzwerkauthentifizierung bietet Usern eine zus\u00e4tzliche und entscheidende Sicherheitsebene.\" Kunden sollten umgehend Ma\u00dfnahmen ergreifen, und sicherzustellen, dass sie durch starke Authentifizierung und Autorisierung gesch\u00fctzt sind.<\/p>\n<p>Weitere Informationen, einschlie\u00dflich der technischen Erkenntnisse und des Proof of Concept des Teams, finden sich im <a href=\"https:\/\/www.tenable.com\/blog\/these-services-shall-not-pass-abusing-service-tags-to-bypass-azure-firewall-rules-customer\" target=\"_blank\" rel=\"noopener\">Tenable Blog<\/a> und im <a href=\"https:\/\/www.tenable.com\/security\/research\/tra-2024-19\" target=\"_blank\" rel=\"noopener\">Technical Advisory<\/a>. Microsoft hat dazu den Beitrag <a href=\"https:\/\/msrc.microsoft.com\/blog\/2024\/06\/improved-guidance-for-azure-network-service-tags\/\" target=\"_blank\" rel=\"noopener\">Improved Guidance for Azure Network Service Tags<\/a> vom 3. Juni 2024 ver\u00f6ffentlicht.<\/p>\n<h2>BSI-Warnung vor weiterer kritischer Schwachstelle<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Das BSI warnt inzwischen vor einer weiteren Schwachstelle (CVS 3.1 = 10.0). Marcel W. hat mich per E-Mail auf nachfolgenden <a href=\"https:\/\/wid.cert-bund.de\/portal\/wid\/securityadvisory?name=WID-SEC-2024-1316\" target=\"_blank\" rel=\"noopener\">Eintrag<\/a> in der <a href=\"https:\/\/wid.cert-bund.de\/portal\/wid\/kurzinformationen\" target=\"_blank\" rel=\"noopener\">Liste aktueller Sicherheitshinweise<\/a> von CERT-Bund (BSI) hingewiesen.<\/p>\n<p><a href=\"https:\/\/wid.cert-bund.de\/portal\/wid\/securityadvisory?name=WID-SEC-2024-1316\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/Kz1WjRpK\/image.png\" alt=\"BSI-Warnung Azure-Schwachstelle\" \/><\/a><\/p>\n<p>Geschockt hat mich die Einstufung des CVSS-Score von 10.0, was ja der h\u00f6chst m\u00f6gliche Wert ist. Details habe ich im Blog-Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2024\/06\/07\/cert-bund-warnt-vor-schwachstelle-wid-sec-2024-131-in-microsoft-azure\/\">CERT-Bund warnt vor Schwachstelle WID-SEC-2024-131 in Microsoft Azure<\/a> ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die Sicherheitsexperten von Tenable sind in Microsoft Azure auf eine Schwachstelle gesto\u00dfen, die sie als kritisch einstufen. Microsoft hat aber verlauten lassen, dass man diese Schwachstelle, die mehr als zehn Azure Services betrifft, nicht patchen m\u00f6chte. Das hei\u00dft, die Schwachstelle &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/06\/06\/tenable-entdeckt-kritische-schwachstelle-in-microsoft-azure-unternehmen-will-nicht-patchen-juni-2024\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[8479,4328],"class_list":["post-295863","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud-azure","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295863","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295863"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295863\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295863"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295863"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295863"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}