Microsoft waarschuwt voor het delen van Azure-sleutels met iedereen in de organisatie. Maar wel pas nadat het door Orca op een eigen designfout gewezen is.
Volgens beveiligingsfirma Orca Security kunnen Azure-toegangstokens eenvoudig misbruikt worden door kwaadwillige actoren om vrij spel te krijgen in de cloudomgeving van een organisatie. Orca spreekt dan ook niet van een kwetsbaarheid in het Azure-ecosysteem, maar van een flagrante designfout door Microsoft. Het delen van Azure-sleutels is immers een standaardinstelling voor nieuw aangemaakte storage-accounts. Iedereen die een sleutel krijgt, heeft toegang tot geselecteerde bestanden.
Hoe dit misbruikt kan worden, doet Orca uitvoerig uit de doeken in een fictief voorbeeld. Stel dat het account van een werknemer gecompromitteerd wordt door hackers. Hierdoor krijgt de hacker met de sleutel toegang tot alle bestanden die de werknemers kan lezen en/of bewerken. Nu is het kwestie voor de indringer om zijn/haar bewegingsvrijheid uit te breiden.
Sleutel op de deur
Door een specifiek commando uit te voeren, kan de aanvaller een lijst opvragen van alle sleutels van opslagaccounts en bijhorende bestanden. De aanvaller kan nu enkel de sleutels die toegang tot broncodebestanden geven eruit filteren. Met deze sleutels krijgt de aanvaller vrije toegang tot gevoelige bestanden en zich lateraal bewegen door de cloudomgeving van de organisatie.
Microsoft erkent het probleem en raadt nu ook zelf af om Azure-sleutels te delen en in plaats daarvan Azure Active Directory-authenticatie te implementeren. Toch is deze instelling dus de standaard voor nieuw aangemaakte accounts. Dit zou binnenkort veranderen, maar Microsoft deelt nog niet wanneer het dat dan plant te doen. Een uitgebreide handleiding over hoe je Azure-storage te beveiligen, lees je in deze blog.
Lekke emmer
De designfout in Microsoft Azure doet Orca terugdenken aan AWS Simple Storage Service, kortweg S3. Jarenlang stond externe toegang tot databuckets standaard ingeschakeld bij nieuwe bestanden. Hoewel dit eenvoudig uit te schakelen was, waren veel organisaties daar niet van op de hoogte waardoor ze nietsvermoedend externen toegang gaven tot gevoelige data, met alle beveiligingsincidenten van dien.
Pas in december gaf AWS toe en schakelde het de publieke toegang standaard uit. Sinds januari zijn nieuw aangemaakte objecten ook standaard van encryptie voorzien, eveneens een instelling die jarenlang beschikbaar was maar door weinigen gebruiken werd aangezet. Soms hebben bedrijven een beetje hulp nodig om hun gegevens voldoende te beveiligen in de cloud.