Otkrivene su kritične sigurnosne ranjivosti u sistemu kontrole pristupa zasnovanog na ulogama (RBAC) Microsoft Azurea, koje bi mogle izložiti korporativne mreže neovlaštenom pristupu. Istraživači sigurnosti identifikovali su kombinaciju prekomjerno privilegiranih ugrađenih uloga i propusta u implementaciji API-ja, stvarajući opasne vektore napada za zlonamjerne aktere koji žele ugroziti upravljanje oblakom i lokalne mreže.
Ove ranjivosti se uglavnom tiču Azureovog RBAC sistema, koji upravlja dozvolama u sklopu opsežnog ekosistema usluga platforme. Čini se da temeljni propust u dizajnu dovodi do toga da brojne uloge specifične za usluge nehotice dodjeljuju mnogo šire dozvole od onih koje njihova imena i opisi sugerišu. Te uloge, namijenjene ograničenim administrativnim funkcijama, zapravo pružaju ekvivalent punog pristupa čitanju kroz cijele Azure pretplate.
Otkriće obuhvata deset ugrađenih Azure uloga koje sadrže problematičnu dozvolu “*/read”, čime se korisnicima efektivno daje pristup 9.618 različitih Azure akcija. Uloge poput “Managed Applications Reader”, “Log Analytics Reader” i “Monitoring Reader” zavaravaju administratore, sugerišući im da pružaju uske, specifične dozvole za usluge, dok zapravo dodjeljuju sveobuhvatne dozvole čitanja preko svih Azure resursa unutar njihovog dodijeljenog opsega.
Analitičari iz Token Securitya otkrili su da ove prekomjerno privilegirane uloge stvaraju značajne sigurnosne rizike koji nadilaze jednostavno otkrivanje informacija. Univerzalne dozvole čitanja omogućavaju napadačima da prebroje račune za pohranu, instance baza podataka, mrežne konfiguracije i skladišta za sigurnosne kopije, pružajući detaljne obavještajne podatke za planiranje sofisticiranih napada. Ono što je još zabrinjavajuće, te dozvole omogućavaju pristup skriptama za implementaciju, računima za automatizaciju i konfiguracijama web aplikacija koje često sadrže ugrađene vjerodajnice i osjetljive varijable okoline.
Istraživači su također otkrili zasebnu, ali srodnu ranjivost u implementaciji Azure API-ja koja omogućava korisnicima s osnovnim dozvolama čitanja da izvuku VPN ključeve za predShared ključeve putem specifičnog endpointa. Ovaj propust proizlazi iz nedosljednog provođenja dozvola kroz različite HTTP metode, gdje Azure obično ograničava osjetljive operacije na POST zahtjeve, ali je slučajno implementirao funkciju dohvaćanja VPN ključeva kao GET zahtjev.
Najopasniji aspekt ovih ranjivosti leži u njihovoj kombinaciji koja stvara potpuni lanac napada usmjeren na hibridna okruženja u oblaku. Napadač koji ugrozi identitet s naizgled ograničenim dozvolama može iskoristiti prekomjerno privilegirane uloge za provođenje izvidjaca, a zatim iskoristiti curenje VPN ključeva za dobivanje mrežnog pristupa.
Napadni slijed započinje kada napadač dobije vjerodajnice za identitet kojem je dodijeljena jedna od problematičnih uloga. Koristeći univerzalne dozvole čitanja, mogu prebrojati konfiguracije Azure VPN Gatewaya i izvući predShared ključeve putem ranjivog API endpointa. S tim ključevima, napadači mogu uspostaviti lažne VPN veze “site-to-site”, efektivno se pridruživši privatnoj mrežnoj infrastrukturi organizacije i dobivajući pristup kako resursima u oblaku, tako i lokalnim sistemima povezanim kroz isti gateway.
Microsoft je potvrdio ranjivost VPN-a kao “važnog” stupnja kritičnosti i dodijelio istraživačima nagradu od 7.500 dolara, dok je prekomjerno privilegirane uloge klasifikovao kao “niske kritičnosti” i odlučio ažurirati dokumentaciju umjesto da ispravi temeljne probleme s dozvolama.
