Peinlicher Azure-Bug: Passwortloser Login funktionierte bei VMs schon

Die Serie peinlicher Sicherheitslücken in den Azure-Diensten Microsofts hat einen neuen Höhepunkt erreicht. Angreifer konnten sich hier auf denkbar einfachste Art einen Root-Zugang zu den virtuellen Maschinen verschaffen.
Kopf, Gesicht, Fail, Facepalm, Face Palm, Omg, Peinlich, Peinlichkeit, sich an den Kopf fassen, sich an den Kopf greifen, Face-Palm, Schande, Shame, Scharm, schämen, embarrassment
Die Sicherheitsforscher des Unternehmens Wiz, die das Problem entdeckten, gaben ihm den Namen OMIGOD. Dies spielt einerseits auf ihre Reaktion an, als sie den Fehler entdeckten, als auch daran, dass diesem die Open Management Infrastructure (OMI) Microsofts zugrunde liegt. Microsoft hat inzwischen eine Aktualisierung in seinen Datenzentren verteilt, die das Problem aus der Welt schaffen sollte.

"Das ist eine Remote Code Execution-Schwachstelle aus dem Lehrbuch, wie man sie in den 1990ern noch erwartet hätte. Es ist sehr ungewöhnlich, dass 2021 so etwas noch auftaucht und Millionen Nutzer angreifbar macht", erklärte Wiz-Sicherheitsforscher Nir Ohfeld. Angreifer mussten sich hier gar nicht erst damit aufhalten, mit ausgeklügelten Methoden Bugs in einem Authentifizierungs-System auszunutzen.

Viele Kunden betroffen

Vielmehr genügte es, den Authorization-Header komplett von einer Anfrage abzuschneiden. In diesem Moment ordnete das System dem Request uid=0 und gid=0 zu - was in der Praxis bedeutete, dass hier direkt ein Root-Zugang bereitgestellt wurde. Wenn OMI dann noch die Ports 5986, 5985 oder 1270 von außen erreichbar machte, was glücklicherweise nicht immer der Fall war, konnte quasi jeder ohne größeren Aufwand mit allen Rechten auf virtuelle Maschinen in der Microsoft-Cloud zugreifen.

Scans der Sicherheitsforscher kamen zu dem Ergebnis, dass rund 65 Prozent der Linux-Instanzen, die von Azure-Nutzern betrieben wurden, auf diesem Weg angreifbar waren. Kunden sollten nun darauf achten, dass die OMI-Installation in ihrer VM mindestens die Version 1.6.81 aufweist. Meist dürften die entsprechenden Updates automatisch in den Systemen landen. Nutzer des System Center sollten allerdings unbedingt manuell prüfen, auf welchem Stand OMI ist, da hier teils keine automatischen Aktualisierungen eingespielt werden.

Und wer den Schaden hat, muss auf den Spott nicht lange warten. Microsoft hatte immerhin kürzlich groß dafür geworben, dass man den Zugang zum Microsoft-Account demnächst ohne Passwort-Eingabe bekommen kann. Bei Azure-VMs sei das sogar heute schon möglich, scherzte man entsprechend in der Security-Szene.

Siehe auch:

Thema:
Cloud
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Beliebte Downloads
Jetzt als Amazon Blitzangebot
Ab 08:10 Uhr blurams Überwachungskamera Innen 2K,Wlan IP Kamera,360 Grad Kamera Schwenkbar Hundekamera mit Zwei-Wege-Audio,IR-Nachtsicht, Personenerkennung und Bewegungserfassung (2.4 GHz Wi-Fi)blurams Überwachungskamera Innen 2K,Wlan IP Kamera,360 Grad Kamera Schwenkbar Hundekamera mit Zwei-Wege-Audio,IR-Nachtsicht, Personenerkennung und Bewegungserfassung (2.4 GHz Wi-Fi)
Original Amazon-Preis
35,99
Im Preisvergleich ab
?
Blitzangebot-Preis
26,99
Ersparnis zu Amazon 25% oder 9
Alle Amazon Blitzangebote
Bilder zum Thema Cloud
1 Cloud Computing: Die Nutzung in Deutschland nimmt zu Cloud Computing: Die Nutzung in Deutschland nimmt zu 1 Cloud Computing: Microsoft oder Amazon: Wer ist der Cloud-Marktführer? Cloud Computing: Microsoft oder Amazon: Wer ist der Cloud-Marktführe­r?
1 Cloud: Neun von zehn deutschen Firmen haben den Kopf in den Wolken Cloud: Neun von zehn deutschen Firmen haben den Kopf in den Wolken 11 OneDrive Web Überarbeitung OneDrive Web Überarbeitung
Beiträge aus dem Forum
Zum Internet-Forum
Interessante Links
Beliebt im Preisvergleich
cat hdxnas Preisvergleich
Neue Nachrichten
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!