Palo Alto entdeckt gravierende Azure-Sicherheitslücke

13. September 2021, 12:46
  • security
  • lücke
  • microsoft
  • azure
image

Die Lücke ist behoben, aber sie beleuchtet ein grundsätzliches Cloud-Sicherheitsproblem: Der "Ausbruch" aus einem Account kann den Einbruch in andere ermöglichen.

Unit 42, die Security-Research-Abteilung von Palo Alto Networks, hat eine Sicherheitslücke in Microsofts Cloud Service Azure Container Instances (ACI) entdeckt und letzte Woche Details dazu veröffentlicht. Die von den Entdeckern "Azurescape" genannte Schwachstelle hätte es Angreifern ermöglichen können, aus einem eigenen Container auf dieser Container-as-a-Service-Plattform "auszubrechen" und daraufhin andere Container zu übernehmen. Dies hätte es ihnen ermöglicht, in übernommenen Containern eigenen Code zu installieren oder auch Daten von Microsoft-Kunden zu klauen.
Vor der Veröffentlichung der Details hat Palo Alto natürlich Microsoft darüber informiert, und der Softwarehersteller hat die Lücke behoben. Von dieser Schwachstelle geht also keine Gefahr mehr aus. Aber sie wirft, wie Palo Alto anmerkt, ein Schlaglicht auf ein grundsätzliches Security-Problem in Cloud-Services.
"Cross-account"-Sicherheitslücken, also Sicherheitslücken, die es Hackern erlauben, von einem Cloud-Account aus die Accounts anderer User zu übernehmen, seien ein "Albtraum-Szenario" für Public Cloud Services, so Palo Alto. Azurescape zeige, dass solche Schwachstellen "realer sind als wir gerne denken". Cloud-Provider würden zwar viel in die Sicherheit ihrer Plattformen investieren, aber es sei unausweichlich, dass Hacker in Zukunft selbst solche Lücken entdecken und sie dann ausnützen würden, bevor die Provider sie beheben können.
Cloud-Usern empfiehlt Palo Alto deshalb einen Security-Ansatz mit einer Kombination mehrerer Massnahmen für ihre Cloud-Sicherheit. Dieser "Defense-in-depth"-Ansatz sollte es ermöglichen, Sicherheitsverletzungen zu entdecken und abzuwehren, unabhängig davon, ob die Bedrohung von aussen oder von der Plattform selbst ausgehe. Im oben verlinkten Post von Palo Alto findet man ganz unten eine Reihe der Massnahmen, die Palo Alto spezifisch für Kubernetes-Umgebungen vorschlägt.

Loading

Mehr zum Thema

image

Wasserverbrauch eines Microsoft-Rechenzentrums empört Holland

Ein grosses Microsoft-RZ hat 4-mal mehr Wasser zur Kühlung benutzt als geplant. Der Konzern verspricht jetzt Nachhaltigkeit.

publiziert am 17.8.2022
image

Microsoft lässt Entwickler-Workstations in der Cloud testen

Microsoft hat ein Public Preview seines neuen Dev-Box-Services gestartet.

publiziert am 16.8.2022
image

Eine Zeroday-Lücke lebte bei Microsoft zwei Jahre unbehelligt

Microsoft anerkennt die Schwachstelle "Dogwalk" nach zwei Jahren als Gefahr und veröffentlicht einen Patch. Sie wird bereits ausgenutzt.

publiziert am 16.8.2022
image

Report: Githubs KI-Tool Copilot macht Code unsicherer

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

publiziert am 12.8.2022