Microsoft resuelve los dos únicos fallos de seguridad detectados en Azure el año pasado

Microsoft adquiere el proveedor de modelo de datos ADRM

Los investigadores de seguridad de Check Point detectaron dos fallos de seguridad en Microsoft Azure que podrían haber permitido a los hackers tomar el control de los servidores en la nube.

El trabajo fue parte de un proyecto más amplio que analiza la infraestructura en la nube, denominado «Attack the Cloud», en el que Check Point quiere «romper la suposición de que las infraestructuras en la nube son seguras.»

Ambas vulnerabilidades tanto en Azure Stack como en App Service ya fueron parcheadas el año pasado

Con Microsoft Azure, los investigadores detectaron dos fallos, como ya hemos dicho. El primero fue en Azure Stack, y podría haber permitido que los delincuentes tomaran capturas de pantalla o vieran otra información confidencial aprovechando una vulnerabilidad en la función «DataService», que no requeriría autenticación.

«Este fallo de seguridad permitiría a un hacker obtener información confidencial de cualquier negocio que tenga su máquina funcionando en Azure», dijeron los investigadores. «Para ejecutar el exploit, un pirata informático primero tendría acceso al Portal de Azure Stack, lo que permitiría a esta persona enviar solicitudes HTTP no autenticadas que brinden capturas de pantalla e información sobre los inquilinos y las máquinas de la infraestructura.»

El segundo de los fallos al que nos referíamos fue en el Servicio de Aplicaciones de Azure, donde las empresas aprovisionan en implementan aplicaciones y procesos comerciales, y podrían haber permitido que los hackers tomen el control de un servidor.

«El resultado final sería que un pirata informático podría tomar el control de todo el servidor Azure y, en consecuencia, tomar el control de todo el código de nuestra empresa», dijeron los investigadores.

Los investigadores también pudieron ingresar a las aplicaciones, ver datos y ausmir cuentas creando un usuario gratuito de Azure Cloud, además de ejecutar funciones maliciosas.

«Explotar esta vulnerabilidad en todos los planes podría permitirnos comprometer la infraestructura del Servicio de aplicaciones de Microsoft», explican los expertos. «Sin embargo, explotarlo específicamente en un plan gratuito o compartido también podría permitir comprometer otras aplicaciones, datos y cuentas del resto de los inquilinos».

Check Point reveló los hallazgos a Microsoft en enero y junio del año pasado, con parches para ambos emitidos a finales de 2019. El primer fallo recibió 5.000$ del programa de recompensas de errores de Microsoft y el segundo, 40.000$.

Los investigadores enfatizaron en un informe sobre el segundo fallo que, si bien la nube «se considera segura», todavía puede tener vulnerabilidades. «La nube no es un lugar mágico».

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments

Relacionados

Tendencias

Más leídos

Se habla de..

0
Would love your thoughts, please comment.x
()
x