Недавно обнаруженная уязвимость авторизации с общим ключом Microsoft Azure, может обеспечить полный доступ злоумышленников к учётным записям и бизнес-данным целевой организации, а также привести к удаленному выполнению кода, предупреждает компания Orca.
Авторизация с общим ключом является одним из доступных по умолчанию методов входа в учётную запись Microsoft Azure, наряду с использованием обычных учётных данных. Однако, по заявлениям самой Microsoft, общие ключи доступа обеспечивают более низкую безопасность, поэтому их использование считается менее предпочтительным.
Сценарий хакерской атаки, обнаруженный Orca, представляет собой ещё одно доказательство возможных рисков такой авторизации, а также подчёркивает необходимость для организаций полностью отключить авторизацию с общим ключом в качестве меры для обеспечения должного уровня безопасности.
По умолчанию Azure генерирует два 512-разрядных ключа доступа для любой вновь созданной учётной записи. Поскольку эти ключи подобны root-паролям, любой пользователь, владеющий соответствующим ключом, может воспользоваться им для авторизации в чужой аккаунт.
“С помощью этого ключа, полученного либо в результате утечки, либо при получении соответствующей роли Azure Active Directory, злоумышленник может не только получить полный доступ к учётным записям и потенциально важным бизнес-активам, но также перемещаться по среде и даже выполнять удаленный код”, – отмечает Orca.
Расследование компании показало, что аутентификация по ключу доступа может использоваться для выполнения гораздо большего числа действий, чем определено разрешениями, предоставляемыми учётным записям Azure. В частности, учётная запись Active Directory с разрешениями на чтение данных может в том числе изменять и удалять данные, сообщает Orca.
Кроме того, компания обнаружила, что скомпрометированная учётная запись также может быть использована для извлечения идентификатора с более высокими привилегиями и применения его для бокового перемещения в скомпрометированной среде. Так хакеры могут реализовать развёртывание и запуск обратной оболочки на виртуальных машинах.
Orca отмечает, что основной проблемой здесь является уровень доступа, который злоумышленники могут получить, скомпрометировав учётную запись Azure или получив нужные ключи доступа. Это не считая того, что, оказавшись внутри среды, киберпреступники смогут получать доступ к конфиденциальным данным и выполнять вредоносные действия без возможности быть обнаруженными.
Применение принципа наименьших привилегий снижает потенциальные риски, связанные с этим сценарием эксплуатации, равно как и полное отключение авторизации с общим ключом в Azure. Корпорация Microsoft недавно даже опубликовала сообщение в своём блоге. В нём подробно описываются лучшие практики, а также шаги, которые предпринимает сама компания, чтобы отказаться от авторизации с общим ключом.