Aanvallers kunnen via een Linux-container toegang krijgen tot het Microsoft Service Fabric. Dat is een softwarelaag waarop miljoenen applicaties wereldwijd draaien.
Microsoft patcht een lek in zijn Service Fabric. Microsoft Service Fabric werkt samen met Azure en is een basislaag waarop meer dan een miljoen applicaties wereldwijd vertrouwen. Gebruik je Azure SQL Database, CosmosDB of zelfs PowerBI? Dan maak je gebruik van het Service Fabric. De gepatchte bug is dus ietwat verontrustend gezien de mogelijke schaal van het misbruik, al zijn er in het wild nog geen aanvallen gedetecteerd.
De kwetsbaarheid in kwestie werd ontdekt door het Unit 42-team van Palo Alto. De beveiligingsonderzoekers noemende de bug FabricScape. De officiële benaming is CVE-2022-30137.
Binnengesmokkeld in container
FabricScape laat aanvallers toe om hun privileges te excaleren en een heel Service Fabric-node over te nemen. Dat kan dankzij een bug in Service Fabric voor het draaien van containers. Concreet kunnen hackers uit een Linux-container breken en zo de controle overnemen. Daartoe hebben ze wel toegang tot een container met lees- en schrijfprivileges nodig. In theorie bestaat de bug ook in Windowscontainers maar in de praktijk kunnen aanvallers die niet uitbuiten. Enkel Linuxcontainers zijn dus kwetsbaar, al ligt de fout bij Microsoft en niet bij Linux.
Microsoft-klanten die auto-update hebben ingesteld, hebben in principe de benodigde patch al ontvangen. Alle andere gebruikers doen er goed aan om de update zo snel mogelijk te installeren.