Microsoft nega corrigir possível vulnerabilidade no sistema da Azure

Publicado em por

Microsoft nega corrigir possível vulnerabilidade no sistema da Azure

Um grupo de investigadores da empresa de segurança Tenable afirma ter descoberto uma falha, associada com a plataforma Azure Service Tag, que pode permitir aos atacantes terem acesso a dados sensíveis dos clientes.

Esta funcionalidade da plataforma da Microsoft permite limitar o acesso a determinados serviços da rede, permitindo apenas tráfego originário da Azure e de uma lista de IPs autorizados para tal.

No entanto, a empresa de segurança afirma ter descoberto uma falha, que pode permitir aos atacantes enviarem pedidos forjados para a plataforma, fazendo-se passar por pedidos válidos da Azure, e que permitem assim contornar as regras de segurança da plataforma. Isto pode permitir acessos indevidos a dados dos clientes, e a realização de ataques diretos com possível roubo de dados de terceiros.

A empresa afirma ter informado a Microsoft sobre esta falha, mas terá recebido a resposta que a mesma não é considerada uma vulnerabilidade, e como tal, não será realizado uma correção da mesma.

Tendo em conta que a Microsoft não vai lançar uma correção para este problema, a empresa de segurança indica que todos os utilizadores do Azure Service Tags encontram-se potencialmente vulneráveis a estes ataques.

Esta falha pode afetar ainda outras plataformas onde a Service Tags sejam usadas, como:

  • Azure DevOps
  • Azure Machine Learning
  • Azure Logic Apps
  • Azure Container Registry
  • Azure Load Testing
  • Azure API Management
  • Azure Data Factory
  • Azure Action Group
  • Azure AI Video Indexer
  • Azure Chaos Studio

Para prevenir a exploração da falha, os investigadores recomendam que os clientes apliquem medidas de autenticação adicionais para prevenirem acessos de terceiros nas suas plataformas e redes internas.

Em resposta ao caso, a Microsoft afirma que não considera esta falha no Azure Service Tags, indicando que o serviço não serve diretamente como um meio de segurança para os sistemas dos utilizadores na plataforma, embora tal não esteja diretamente descrito na informação do mesmo. A empresa considera ainda que a Azure Service Tags não deve ser considerada uma medida de segurança primária das redes da Azure, e é aplicada como um meio complementar para tal.