A Microsoft está alertando sobre o potencial abuso das tags de serviço do Azure por atores mal-intencionados para forjar solicitações de um serviço confiável e contornar regras de firewall, permitindo-lhes obter acesso não autorizado aos recursos da nuvem.
“Este caso destaca um risco inerente ao uso de etiquetas de serviço como um mecanismo único para verificar o tráfego de rede de entrada”, disse o Microsoft Safety Response Heart (MSRC) em uma orientação emitida na semana passada.
“As etiquetas de serviço não devem ser tratadas como um limite de segurança e devem ser usadas apenas como um mecanismo de roteamento em conjunto com controles de validação. As etiquetas de serviço não são uma forma abrangente de proteger o tráfego para a origem de um cliente e não substituem a validação de entrada para evitar vulnerabilidades que podem estar associados a solicitações da net.”
A declaração vem em resposta às descobertas da empresa de segurança cibernética Tenable, que descobriu que os clientes do Azure cujas regras de firewall dependem das tags de serviço do Azure poderiam ser contornados. Não há evidências de que o recurso tenha sido explorado em liberdade.
O problema, em sua essência, decorre do fato de que alguns dos serviços do Azure permitem tráfego de entrada por meio de uma etiqueta de serviço, permitindo potencialmente que um invasor em um locatário envie solicitações da Net especialmente criadas para acessar recursos em outro, assumindo que tenha sido configurado para permite o tráfego da etiqueta de serviço e não realiza nenhuma autenticação própria.
Ao menos 10 serviços do Azure foram considerados vulneráveis: Azure Utility Insights, Azure DevOps, Azure Machine Studying, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Administration, Azure Knowledge Manufacturing facility, Azure Motion Group, Azure AI Video Indexer e Estúdio Azure Chaos.
“Essa vulnerabilidade permite que um invasor controle solicitações do lado do servidor, personificando assim serviços confiáveis do Azure”, disse Liv Matan, pesquisadora da Tenable. “Isso permite que o invasor contorne os controles de rede baseados em etiquetas de serviço, que são frequentemente usadas para impedir o acesso público aos ativos, dados e serviços internos dos clientes do Azure.”
Em resposta à divulgação no remaining de janeiro de 2024, a Microsoft atualizou a documentação para observar explicitamente que “as tags de serviço por si só não são suficientes para proteger o tráfego sem considerar a natureza do serviço e o tráfego que ele envia”.
Também é recomendado que os clientes revisem o uso de etiquetas de serviço e garantam que adotaram proteções de segurança adequadas para autenticar apenas o tráfego de rede confiável para etiquetas de serviço.
