Microsoft nega corrigir possível vulnerabilidade no sistema da Azure
Um grupo de investigadores da empresa de segurança Tenable afirma ter descoberto uma falha, associada com a plataforma Azure Service Tag, que pode permitir aos atacantes terem acesso a dados sensíveis dos clientes.
Esta funcionalidade da plataforma da Microsoft permite limitar o acesso a determinados serviços da rede, permitindo apenas tráfego originário da Azure e de uma lista de IPs autorizados para tal.
No entanto, a empresa de segurança afirma ter descoberto uma falha, que pode permitir aos atacantes enviarem pedidos forjados para a plataforma, fazendo-se passar por pedidos válidos da Azure, e que permitem assim contornar as regras de segurança da plataforma. Isto pode permitir acessos indevidos a dados dos clientes, e a realização de ataques diretos com possível roubo de dados de terceiros.
A empresa afirma ter informado a Microsoft sobre esta falha, mas terá recebido a resposta que a mesma não é considerada uma vulnerabilidade, e como tal, não será realizado uma correção da mesma.
Tendo em conta que a Microsoft não vai lançar uma correção para este problema, a empresa de segurança indica que todos os utilizadores do Azure Service Tags encontram-se potencialmente vulneráveis a estes ataques.
Esta falha pode afetar ainda outras plataformas onde a Service Tags sejam usadas, como:
- Azure DevOps
- Azure Machine Learning
- Azure Logic Apps
- Azure Container Registry
- Azure Load Testing
- Azure API Management
- Azure Data Factory
- Azure Action Group
- Azure AI Video Indexer
- Azure Chaos Studio
Para prevenir a exploração da falha, os investigadores recomendam que os clientes apliquem medidas de autenticação adicionais para prevenirem acessos de terceiros nas suas plataformas e redes internas.
Em resposta ao caso, a Microsoft afirma que não considera esta falha no Azure Service Tags, indicando que o serviço não serve diretamente como um meio de segurança para os sistemas dos utilizadores na plataforma, embora tal não esteja diretamente descrito na informação do mesmo. A empresa considera ainda que a Azure Service Tags não deve ser considerada uma medida de segurança primária das redes da Azure, e é aplicada como um meio complementar para tal.