A Microsoft está alertando sobre o potencial abuso dos Service Tags do Azure por atores maliciosos para forjar solicitações de um serviço confiável e contornar regras de firewall, permitindo-lhes obter acesso não autorizado a recursos na nuvem.
"Este caso destaca um risco inerente ao usar Service Tags como único mecanismo para validar o tráfego de rede entrante", disse o Microsoft Security Response Center (MSRC) em uma orientação emitida na última semana.
Service Tags não devem ser tratados como uma fronteira de segurança e devem ser usados apenas como um mecanismo de roteamento em conjunto com controles de validação.
Service Tags não são uma maneira abrangente de garantir a segurança do tráfego para a origem do cliente e não substituem a validação de entrada para prevenir vulnerabilidades que podem estar associadas a solicitações web.
A declaração vem em resposta às descobertas da firma de cibersegurança Tenable, que percebeu que clientes do Azure cujas regras de firewall dependem dos Azure Service Tags poderiam ser contornados.
Não há evidências de que a funcionalidade tenha sido explorada em ações reais.
O problema, em sua essência, decorre do fato de que alguns dos serviços do Azure permitem tráfego de entrada via um Service Tag, potencialmente permitindo que um atacante em um tenant envie solicitações web especialmente criadas para acessar recursos em outro, assumindo que este foi configurado para permitir tráfego do Service Tag e não realiza autenticação própria.
Até 10 serviços do Azure foram encontrados vulneráveis: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer e Azure Chaos Studio.
"Esta vulnerabilidade permite que um atacante controle solicitações do lado do servidor, assim, se passando por serviços confiáveis do Azure", disse o pesquisador da Tenable, Liv Matan.
Isso permite ao atacante contornar controles de rede baseados em Service Tags, que são frequentemente usados para impedir o acesso público aos ativos internos, dados e serviços de clientes do Azure.
Em resposta à divulgação no final de janeiro de 2024, a Microsoft atualizou a documentação para notar explicitamente que "Service Tags por si só não são suficientes para garantir a segurança do tráfego sem considerar a natureza do serviço e o tráfego que ele envia."
Também é recomendado que os clientes revisem o uso de Service Tags e garantam que adotaram controles de segurança adequados para autenticar apenas o tráfego de rede confiável para Service Tags.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...