28 Aug Microsoft Azure Kubernetes Hacked
Dem Cybersecurity Unternehmen Mandiant zufolge, ist Microsofts Azure Kubernetes Service (AKS) von einer kritischen Schwachstelle zur Ausweitung von Berechtigungen betroffen, wie erst kürzlich entdeckt wurde. Hacker waren möglicherweise in der Lage, auf Anmeldedaten für Dienste in den Kubernetes-Clustern des Dienstes zuzugreifen.
Mandiant gab bekannt, dass die Schwachstelle in den AKS-Clustern (Azure Kubernetes Services) gefunden wurde, die von Azure CNI (Container Networking Interface) für die Netzwerkkonfiguration verwendet werden, bei denen “Azure” als Netzwerkrichtlinie aktiviert ist. Hier gelang es Hackern mit Befehlsausführungsrechten für einen sogenannten Security Pod (ein Pod ist eine Gruppe von einem oder mehreren Containern, die sich dieselben Netzwerk- und Speicherressourcen sowie eine Spezifikation für die Ausführung der Container teilen. Pods haben in der Regel eine 1:1-Zuordnung zu einem Container, aber Sie können mehrere Container in einem Pod ausführen) die Konfiguration herunterzuladen, um den Clusterknoten für den Angriff einzurichten. Pod Security ist die Grundvoraussetzung zur Verhinderung von Post-Exploition-Aktivitäten, die einen ganzen Cluster gefährden können. Die Sicherheitskonfiguration, die die Angriffsmöglichkeiten begrenzen sollen, helfen normalerweise dabei, bekannte und unbekannte Angriff abzuwehren.
Außerdem waren die Hacker in der Lage, die Sicherheits-Bootstrap-Tokens für die Transportschickt zu stehlen und so einen TLS-Bootstrap-Angriff durchzuführen. Damit hatten sie Zugriff auf alle Geheimnisse innerhalb des betroffenen Cluster.
Azure WireServer
Die neu gefundene Schwachstelle steht dabei im Zusammenhang mit dem Azure WireServer. Das ist eine undokumentierte Komponente von Azure, die die Plattform für verschiedene interne Zwecke nutzt. Der Schlüssel, der für die geschützten Einstellungswerte verwendet wird, kann von WireServer aus aufgerufen werden, wie die Forscher auf der Grundlage früherer Untersuchungen von CyberCX herausfanden.
Aufgrund des Zugriffs auf den WireServer und einem ‘HostGAPlugin’-Endpunkt konnten die Angreifer dann die Einstellungen für mehrere Erweiterungen abrufen und entschlüsseln. Ein Beispiel ist der Dienst „Custom Script Expension“, der zur Bereitstellung einer VM verwendet wird und von Hackern konfiguriert werden konnte.
Neue unerwartete Sicherheitsprobleme.
Zukünftige Sicherheitsprobleme
Microsoft hat nach eigenen Angaben das Problem behoben, bevor Einzelheiten über die Sicherheitslücke bekannt wurden. Experten weisen jedoch darauf hin, dass komplexe moderne Cloud-Umgebungen immer noch unerwartete Sicherheitsprobleme wie dieses aufwerfen können (siehe der bereits vor einem Jahr gestohlene Azure Master Key, der immer noch nicht ersetzt werden konnte).
Durch die Schaffung dieser neuen Cloud-Umgebungen, so erklären diese Experten, vergrößert die Angriffsfläche weiter. Oft sind diese Gefahren nicht sofort offensichtlich. Deshalb müssen jetzt alle möglichen Einfallstore berücksichtigt werden, auch solche, deren Existenz bisher unbekannt ist.
Zu ergreifende MaßnahmenIm Falle der in AKS gefundenen Schwachstelle zur Privilegienerweiterung warnen die Experten, dass Unternehmen sofort alle AKS-Konfigurationen überprüfen sollten, insbesondere diejenigen, die „Azure CNI“ für die Netzwerkkonfiguration und „Azure“ für Netzwerkrichtlinien verwenden.
Außerdem sollten sie alle Kubernetes-Geheimnisse ändern, strenge Sicherheitsmaßnahmen für Pods einführen und eine robuste Protokollierung und Überwachung einrichten, um verdächtige Aktivitäten zu erkennen.
Der Beitrag Microsoft Azure Kubernetes Hacked erschien zuerst auf Tech Tsunami.
No Comments