微软云中的一个漏洞--或者只是Azure按预期工作,这取决于你问的是谁--可能允许不法分子抛弃防火墙规则,访问其他人的私人网络资源.
漏洞评估机构Table的研究团队发现了这个问题,该问题源于服务标签,服务标签是Azure的一个构造.
这些标签可以用来将Azure服务使用的IP地址组合在一起,以便在理论上更容易控制进出这些资源的网络访问.
例如,如果你希望特定的Azure服务与你的私有Web应用程序交互,你可以使用服务标签来只允许该特定服务通过防火墙连接到该应用程序.
Microsoft建议Azure用户在创建此类安全策略时,将它们应用于服务标签,而不是应用到单个Azure IP地址.
TEnable认为,如果这些受害者依赖于防火墙规则中的服务标签,则这些标签可以被恶意的Azure客户滥用来访问其他客户的东西-跨租户攻击.
然而,微软不会解决这个问题,因为雷蒙德没有将该问题列为漏洞.
相反,微软认为这件事是对人们决定如何使用服务标签及其预期目的的误解.
然而,在TEnable在1月份披露了这一问题后,微软证实这是一个“特权提升漏洞”,具有“重要的”严重级别,并向Table支付了一笔漏洞赏金.
一个月后,根据Table的说法,微软制定了一个“全面修复”和实施时间表,但后来决定只通过“全面的文档更新”来解决这个问题.
这家Windows巨头似乎认为,服务标签的安全弱点最好的解决办法是多层安全控制相结合.
微软的一位发言人告诉The Register,“我们很欣赏与Table的合作,负责任地披露了使用服务标签作为单一机制来审查安全网络流量的内在风险.
”这位发言人补充说,“我们鼓励客户在验证其安全措施时采取多层安全方法,只验证可信的网络流量的服务标签.
我们强烈建议客户主动审查我们博客中列出的服务标签的使用情况.
”微软已经在其文档中发布了对Azure服务标签的改进指南.
这家Windows制造商辩称:“对Table报告的进一步调查确定,服务标签按设计工作,需要通过服务文档清楚地传达最佳实践,正如我们在与Table的后续通信中所说的那样.
”在那篇博客文章中,微软指出,“根据我们自己的调查,没有第三方报告或在野外看到过对服务标签的利用或滥用.
”同时,Table也发布了自己对该问题的技术描述.
我们被告知,除了微软的云服务,该漏洞还影响到至少10个其他的Azure服务,以及一个可用于使用Azure应用服务来利用该问题的概念验证场景.
这些包括该平台的应用程序洞察、DevOps、机器学习、逻辑应用程序、容器注册、负载测试、API管理、数据工厂、操作小组、AI视频索引器以及其Chaos Studio.
这并不是两家安全公司第一次--甚至第二次--就雷蒙德的漏洞披露习惯或更大的信息安全做法发生争执.
TEnable高级研究工程师丽芙·马坦拒绝具体评论微软在这种情况下不发布补丁或称其为漏洞的决定.
他说,无论你怎么描述它,它都需要被解决,以确保用户的安全.
马坦告诉The Register,许多客户正在使用Azure服务标签来实现网络隔离.
我们的新发现揭示了攻击者如何打破这种隔离并接触到内部客户资产.
从安全的角度来看,解决差距-无论是通信差距还是技术差距-是关键关于安全漏洞的具体细节,请参阅TEnable咨询.
总而言之,这归结为这样一个事实,即用户被允许通过各种Azure服务向Web应用程序发送可定制的HTTP请求,而这些应用程序信任这些请求,因为它们来自服务标签覆盖的服务.
因此,我们被误导相信,一个Azure用户可以控制Azure服务发送给另一个客户的HTTP请求,如果另一个客户盲目信任该请求--因为它来自服务标签覆盖的服务--它就会到达受害者的应用程序,从而允许(比如说)流氓用户远程控制或监控该应用程序.
“当服务授予用户控制服务器端请求的选项,并且该服务与Azure服务标签相关联时,如果客户没有额外的保护层,事情可能会变得危险,”Table警告说.
为了防止这种类型的滥用,微软建议增加身份验证和授权检查,而不是只依赖防火墙规则.
因此,例如,使用Azure监视器可用性测试的客户将执行以下操作:根据两家供应商的说法,底线是实施多层安全来保护宝贵的资源和数据.