Bug in Microsoft Azure sorgt seit Jahren für freien Zugang zu Quellcodes

In den Azure-Diensten Microsofts steckte noch eine weitere Sicherheitslücke, die jetzt bekannt wurde. Das Problem ließ sich dabei mindestens bis zum September 2017 zurückverfolgen, wie die Entdecker vom Security-Unternehmen Wiz vermeldeten. Microsoft hat den Bug im November behoben, nachdem man im September von den Sicherheitsforschern informiert wurde. Die seitdem vergangenen Wochen verbrachte man damit herauszufinden, wie viele Nutzer wirklich betroffen waren. Diese sind inzwischen vom Redmonder Software-Konzern kontaktiert worden. Das berichtete das US-Magazin The Record.

Die Wiz-Experten tauften die Schwachstelle auf den Namen NotLegit. Ihren Angaben zufolge steckte das Problem im Azure App Service, mit dem Azure-Instanzen mit einem Sourcecode-Repository verknüpft werden können. Zum Tragen kam der Bug, wenn das Repository auf dem gleichen Azure-Server betrieben wurde wie die Webanwendung, was nicht gerade selten der Fall ist. In diesem Fall konnte der gesamte Quellcode problemlos mit einem Browser abgerufen werden und war nicht mehr weitergehend geschützt.

Auf der Suche nach dem .git

Davon waren im Grunde alle PHP-, Node-, Ruby- und Python-Anwendungen betroffen, die auf diese Weise gehostet wurden. Der Fehler soll sich dabei nur bei Linux-basierten Azure-Instanzen gezeigt haben, nicht aber bei solchen, die mit Windows Server-System liefen. Allerdings ist Linux auch in der Microsoft-Cloud die meistgenutzte Plattform für den Betrieb von Web-Applikationen.

Es ist davon auszugehen, dass der Bug ausgenutzt wurde, um an die Codes diverser Angebote zu gelangen. Von Interesse für die Angreifer sind dabei insbesondere .git-Konfigurations-Files, in denen oft auch Passworter und Tokens für Datenbanken und APIs zu finden sind. Angesichts dass Kriminelle das Netz ständig mit Botnetzen nach .git-Dateien scannen, wäre es quasi ein Wunder, wenn die Azure-Instanzen hier nicht betroffen gewesen wären.

Siehe auch: