Bug in Microsoft Azure sorgt seit Jahren für freien Zugang zu Quellcodes

In den Azure-Diensten Microsofts steckte noch eine weitere Sicherheitslücke, die jetzt bekannt wurde. Das Problem ließ sich dabei mindestens bis zum September 2017 zurückverfolgen, wie die Entdecker vom Security-Unternehmen Wiz vermeldeten.
Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Bug, Kriminalität, Trojaner, Virus, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Ransomware, Hackerangriff, Hacking, Erpressung, Spam, Internetkriminalität, Phishing, Warnung, Ddos, Darknet, Hacker Angriffe, Hacker Angriff, Hacken, Attack, Ransom, Hacks, Crime, Error, Viren, Gehackt, Schädling, Russische Hacker, China Hacker, Adware, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware, Phisher, Secure, Breaking
Microsoft hat den Bug im November behoben, nachdem man im September von den Sicherheitsforschern informiert wurde. Die seitdem vergangenen Wochen verbrachte man damit herauszufinden, wie viele Nutzer wirklich betroffen waren. Diese sind inzwischen vom Redmonder Software-Konzern kontaktiert worden. Das berichtete das US-Magazin The Record.

Die Wiz-Experten tauften die Schwachstelle auf den Namen NotLegit. Ihren Angaben zufolge steckte das Problem im Azure App Service, mit dem Azure-Instanzen mit einem Sourcecode-Repository verknüpft werden können. Zum Tragen kam der Bug, wenn das Repository auf dem gleichen Azure-Server betrieben wurde wie die Webanwendung, was nicht gerade selten der Fall ist. In diesem Fall konnte der gesamte Quellcode problemlos mit einem Browser abgerufen werden und war nicht mehr weitergehend geschützt.

Auf der Suche nach dem .git

Davon waren im Grunde alle PHP-, Node-, Ruby- und Python-Anwendungen betroffen, die auf diese Weise gehostet wurden. Der Fehler soll sich dabei nur bei Linux-basierten Azure-Instanzen gezeigt haben, nicht aber bei solchen, die mit Windows Server-System liefen. Allerdings ist Linux auch in der Microsoft-Cloud die meistgenutzte Plattform für den Betrieb von Web-Applikationen.

Es ist davon auszugehen, dass der Bug ausgenutzt wurde, um an die Codes diverser Angebote zu gelangen. Von Interesse für die Angreifer sind dabei insbesondere .git-Konfigurations-Files, in denen oft auch Passworter und Tokens für Datenbanken und APIs zu finden sind. Angesichts dass Kriminelle das Netz ständig mit Botnetzen nach .git-Dateien scannen, wäre es quasi ein Wunder, wenn die Azure-Instanzen hier nicht betroffen gewesen wären.

Siehe auch:

Thema:
Cloud
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Beliebte Downloads
Jetzt als Amazon Blitzangebot
Ab 11:40 Uhr Android TV Box 10, Android Box 4 GB RAM 32 GB ROM H616 Quad Core Cortex-A53 Smart TV Box, Support 6K 3D Resolution 2.4 GHz WiFi Ethernet USB 3.0 Media PlayerAndroid TV Box 10, Android Box 4 GB RAM 32 GB ROM H616 Quad Core Cortex-A53 Smart TV Box, Support 6K 3D Resolution 2.4 GHz WiFi Ethernet USB 3.0 Media Player
Original Amazon-Preis
44,99
Im Preisvergleich ab
?
Blitzangebot-Preis
36,09
Ersparnis zu Amazon 20% oder 8,90
Nur bei Amazon erhältlich
Amazon.de 36,09 €
Alle Amazon Blitzangebote
Bilder zum Thema Cloud
1 Cloud Computing: Die Nutzung in Deutschland nimmt zu Cloud Computing: Die Nutzung in Deutschland nimmt zu 1 Cloud Computing: Microsoft oder Amazon: Wer ist der Cloud-Marktführer? Cloud Computing: Microsoft oder Amazon: Wer ist der Cloud-Marktführe­r?
1 Cloud: Neun von zehn deutschen Firmen haben den Kopf in den Wolken Cloud: Neun von zehn deutschen Firmen haben den Kopf in den Wolken 11 OneDrive Web Überarbeitung OneDrive Web Überarbeitung
Beiträge aus dem Forum
Zum Internet-Forum
Interessante Links
Beliebt im Preisvergleich
cat hdxnas Preisvergleich
Neue Nachrichten
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!