انتشار جزئيات مربوط به دو آسيب‌پذيری در زيرساخت Microsoft Azure

محققین امنیتی Check Point، جزئیات مربوط به دو #‫آسیب‌پذیری تازه وصله‌شده در سرویس‌های Microsoft Azure را منتشر ساخته‌اند. سوءاستفاده‌ی موفق از این دو آسیب‌پذیری به مهاجمان اجازه می‌دهد تجارت‌های مختلفی که وب و برنامه‌های تلفن همراه خود را در Azure اجرا می‌کنند، هدف قرار دهند.
این دو آسیب‌پذیری در طی سال 2019 کشف و در پایان همان سال وصله شدند.
آسیب‌پذیری اول با شناسه‌ی CVE-2019-1234 شناسایی می‌‌شود و یک نقص جعل درخواست است که بر راه‌حل نرم‌افزار محاسباتی ابری Microsoft Azure Stack (یک ابزار ابری ترکیبی برای استفاده تجاری) اثر می‌گذارد. این آسیب‌پذیری جعل درخواست زمانی وجود دارد که Azure Stack نتواند درخواست‌های خاص را اعتبارسنجی کند. مهاجمان می‌توانند با ارسال یک درخواست ساختگی به پورتال Azure Stack، از این آسیب‌پذیری سوءاستفاده کنند. سوءاستفاده‌ی موفق از این آسیب‌پذیری باعث می‌شود مهاجمان بتوانند به منابع داخلی Azure Stack درخواست ایجاد کنند.
یکی از سرویس‌های آسیب‌پذیر Azure Stack که مورد بررسی محققین Check Point قرار گرفته است، DataService است. این سرویس نیاز به هیچ احرازهویتی ندارد و به مهاجم اجازه می‌دهد به اطلاعات حساس هر شرکتی که بر روی زیرساخت Azure اجرا می‌شود (خواه دستگاه اشتراکی باشد، خواه ایزوله) دست یابد. مهاجمان ابتدا باید به پورتال Azure Stack دست یابند و سپس درخواست‌های HTTP احرازنشده را که اسکرین‌شات‌ها و اطلاعات مربوط به مستأجران و دستگاه‌های زیرساختی را ارایه می‌دهند، ارسال کنند.
این آسیب‌پذیری تنها از طریق Azure Stack Portal (واسطی که کاربران می‌توانند در آن به ابرهایی با استفاده از Azure Stack ایجاد کرده‌اند، دست یابند) قابل سوءاستفاده است که یک بردار حمله‌ی بسیار معتبر نیز است.
آسیب‌پذیری دوم که با شناسه‌ی CVE-2019-1372 ردیابی می‌شود، یک نقص اجرا کد راه‌دور است که بر Azure App Service از Azure Stack اثر می‌گذارد. این آسیب‌پذیری می‌تواند برای به‌دست آوردن کنترل کامل کارگزار Azure و در نتیجه به دست آوردن کد تجاری شرکت، مورد سوءاستفاده قرار گیرد.
Azure App Service، یک سرویس یکپارچه‌ی کاملاً مدیریت‌شده‌ای است که به کاربران این امکان را می‌دهد برنامه‌های وب و تلفن همراه را در بسترهای مختلف و APIهای RESTful را در زبان برنامه‌نویسی خود بدون مدیریت زیرساخت، ایجاد و میزبانی کنند.
نقص CVE-2019-1372 در روش DWASSVC (سرویسی که مناسب مدیریت‌ و اجرای برنامه‌های مستأجر و فرایندهای IIS کارگر است) وجود دارد. این آسیب‌پذیری زمانی وجود دارد که Azure Stack نتواند طول یک بافر را پیش از کپی‌کردن حافظه در آن، بررسی کند. مهاجم می‌تواند با ارسال یک پیام ساختگی خاص به سرویس DWASSVC، از این نقص سوءاستفاده کند و به یک تابع غیرممتاز که توسط کاربر اجرا می‌شود اجازه دهد کد مخرب را در متن سیستم یا NT AUTHORITY اجرا کند و در نتیجه‌ی آن، جعبه‌شنی را دور بزند. ارسال پیام به DWASSVC توسط مهاجم بدین صورت است که زمانی که تابع C# Azure اجرا می‌شود، در متن کارگر اجرا می‌شود. این امر به مهاجم اجازه می‌دهد handleهایی را که در حال حاضر باز شده‌اند، بشمارد. از این طریق handle از قبل‌ بازشده را بیابد و یک پیام ساختگی خاص ارسال نماید.
با زنجیرکردن این دو نقص مهاجمان می‌توانند یک حساب کاربری رایگان با Azure Cloud ایجاد کنند و توابع مخرب Azure را بر روی آن اجرا نمایند یا درخواست‌های HTTP احرازنشده را به پورتال کاربری Azure Stack ارسال نمایند. در صورت سوءاستفاده‌ی موفق، مهاجمان می‌توانند به طور بالقوه کنترل کامل کارگزار Azure که کد تجاری را با خود حمل می‌کند، به‌دست آورند.