Bug in Microsoft Azure sorgt seit Jahren für freien Zugang zu Quellcodes
In den Azure-Diensten Microsofts steckte noch eine weitere Sicherheitslücke, die jetzt bekannt wurde. Das Problem ließ sich dabei mindestens bis zum September 2017 zurückverfolgen, wie die Entdecker vom Security-Unternehmen Wiz vermeldeten.
Microsoft hat den Bug im November behoben, nachdem man im September von den Sicherheitsforschern informiert wurde. Die seitdem vergangenen Wochen verbrachte man damit herauszufinden, wie viele Nutzer wirklich betroffen waren. Diese sind inzwischen vom Redmonder Software-Konzern kontaktiert worden. Das berichtete das US-Magazin The Record.
Die Wiz-Experten tauften die Schwachstelle auf den Namen NotLegit. Ihren Angaben zufolge steckte das Problem im Azure App Service, mit dem Azure-Instanzen mit einem Sourcecode-Repository verknüpft werden können. Zum Tragen kam der Bug, wenn das Repository auf dem gleichen Azure-Server betrieben wurde wie die Webanwendung, was nicht gerade selten der Fall ist. In diesem Fall konnte der gesamte Quellcode problemlos mit einem Browser abgerufen werden und war nicht mehr weitergehend geschützt.
Es ist davon auszugehen, dass der Bug ausgenutzt wurde, um an die Codes diverser Angebote zu gelangen. Von Interesse für die Angreifer sind dabei insbesondere .git-Konfigurations-Files, in denen oft auch Passworter und Tokens für Datenbanken und APIs zu finden sind. Angesichts dass Kriminelle das Netz ständig mit Botnetzen nach .git-Dateien scannen, wäre es quasi ein Wunder, wenn die Azure-Instanzen hier nicht betroffen gewesen wären.
Siehe auch:
Die Wiz-Experten tauften die Schwachstelle auf den Namen NotLegit. Ihren Angaben zufolge steckte das Problem im Azure App Service, mit dem Azure-Instanzen mit einem Sourcecode-Repository verknüpft werden können. Zum Tragen kam der Bug, wenn das Repository auf dem gleichen Azure-Server betrieben wurde wie die Webanwendung, was nicht gerade selten der Fall ist. In diesem Fall konnte der gesamte Quellcode problemlos mit einem Browser abgerufen werden und war nicht mehr weitergehend geschützt.
Auf der Suche nach dem .git
Davon waren im Grunde alle PHP-, Node-, Ruby- und Python-Anwendungen betroffen, die auf diese Weise gehostet wurden. Der Fehler soll sich dabei nur bei Linux-basierten Azure-Instanzen gezeigt haben, nicht aber bei solchen, die mit Windows Server-System liefen. Allerdings ist Linux auch in der Microsoft-Cloud die meistgenutzte Plattform für den Betrieb von Web-Applikationen.Es ist davon auszugehen, dass der Bug ausgenutzt wurde, um an die Codes diverser Angebote zu gelangen. Von Interesse für die Angreifer sind dabei insbesondere .git-Konfigurations-Files, in denen oft auch Passworter und Tokens für Datenbanken und APIs zu finden sind. Angesichts dass Kriminelle das Netz ständig mit Botnetzen nach .git-Dateien scannen, wäre es quasi ein Wunder, wenn die Azure-Instanzen hier nicht betroffen gewesen wären.
Siehe auch:
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Notebooksbilliger: Angebote der Woche stark reduziert
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Microsoft erklärt: Das sind die Update-Typen für Windows 11
- VW ID Polo: Elektro-Kleinwagen startet in Kürze für unter 25.000 Euro
- Nächstes FritzOS-Update sichert WireGuard-VPN per Kill-Switch
- Lidl Datenleck: Hacker erbeuten sensible Kundendaten im Netz
- Disney+ plant Gratis-Tarif: Werbefinanziertes Streaming kommt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen