I ricercatori di
Check Point hanno scoperto che un utente della
rete Azure avrebbe potuto potenzialmente assumere il controllo dell'intero server
. Il primo difetto di sicurezza è stato trovato in Azure Stack
, il secondo in Azure App Service. Il difetto di Azure Stack avrebbe permesso a un hacker di
fare screenshot e
ottenere informazioni sensibili delle macchine in esecuzione su Azure.
Invece la falla in Azure App avrebbe permesso a un hacker di prendere il controllo dell'intero server Azure, e di conseguenza
controllare il codice aziendale di un'impresa.
Azure Stack è una soluzione software di cloud computing sviluppata da Microsoft che è stata progettata per aiutare le imprese a fornire i servizi Azure dal proprio data center.
I ricercatori di Check Point sono stati in grado di
fare screenshot e prelevare informazioni sensibili de
ll'occupante e delle macchine
in esecuzione. Al fine di eseguire l
'exploit,
un hacker otterrebbe prima di tutto l'accesso al portale Azure Stack, consentendo
gli di inviare richieste HTTP non autenticate che forniscono screenshot e informazioni sulle macchine dell'infrastruttura.
Azure App Service è una PaaS completamente gestita che integra i siti web Microsoft Azure, i servizi mobil
e e altri servizi
. Azure App Service offre agli utenti diverse funzionalità come il provisioning
, la distribuzione
e la creazione di app
iOS, Android e Windows, l'automazione dei processi aziendali
unite a un'esperienza di progettazione visiva e l'integrazione con applicazioni SaaS
.
Check Point
ha dimostrato che un
aggressore può compromettere le applicazioni, i dati e gli account creando un utente gratuito in Azure Cloud ed
eseguendo funzioni Azure dannose. Il risultato finale
lo porterebbe ad assumere il controllo dell'intero server Azure, e di conseguenza prendere il controllo di tutto il codice aziendale.
I ricercatori hanno iniziato installando Azure Stack Development Kit (ASDK) sui loro server. Dopo l'installazione di ASDK, hanno mappato i luoghi in cui pensavano di poter trovare delle vulnerabilità. Poiché Azure Stack ha caratteristiche simili al cloud pubblico di Azure, i ricercatori di Check Point si sono concentrati su questi vettori.
Check Point
ha comunicato la sua scoperta a Microsoft. La prima falla nella sicurezza è stata
comunicata il 19 gennaio 2019, con la conseguente creazione di CVE-2019-1234 da parte di Microsoft. Il secondo difetto
, segnalato il 27 giugno 2019, con la creazione di CVE-2019-1372 da parte di Microsoft.
Insieme, Check Point e Microsoft hanno lavorato a stretto contatto per risolvere i problemi. Entro la fine del 2019
sono state rese note al pubblico le patch complete di entrambi i difetti di sicurezza in Azure.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.