Badacze z firmy Check Point zajmującej się cyberbezpieczeństwem zidentyfikowali dwie poważne luki w zabezpieczeniach Microsoft Azure, które mogą zostać wykorzystane przez hakerów w celu uzyskania dostępu do poufnych informacji przechowywanych na komputerach z platformą Azure lub w celu przejęcia serwerów Azure. Pierwsza luka w zabezpieczeniach została odkryta w Azure Stack, a jeśli zostanie wykorzystana, umożliwi hakerowi uzyskanie dostępu do zrzutów ekranu i innych poufnych informacji znajdujących się w maszynach Azure.
Azure Stack to oprogramowanie do przetwarzania w chmurze, które zostało opracowane przez Microsoft, by umożliwić przedsiębiorstwom dostęp do usług Azure z własnych centrów danych. Gigant oprogramowania stworzył Azure Stack jako sposób na wsparcie organizacji w zastosowaniu hybrydowego przetwarzania w chmurze na własnych warunkach, przy jednoczesnym rozwiązywaniu problemów biznesowych i technicznych.
Wykorzystując tę lukę badacze z Check Point byli w stanie zrobić zrzuty ekranu i zebrać poufne informacje o najemcach platformy Azure i maszynach infrastrukturalnych. Jednak aby haker mógł skorzystać z tej usterki, najpierw musiałby uzyskać dostęp do portalu Azure Stack Portal, który umożliwiłby wysyłanie nieuwierzytelnionych żądań HTTP.
Tymczasem drugi błąd w Azure App wykryty przez Check Point umożliwiłby hakerowi przejęcie kontroli nad całym serwerem Azure, a w konsekwencji również kodem biznesowym przedsiębiorstwa. Usługa Azure App Service to w pełni zarządzana platforma PaaS, która integruje witryny Microsoft Azure i inne usługi w jedną całość, a także dodaje nowe możliwości umożliwiające integrację z systemami lokalnymi lub chmurowymi. Badacze z Check Point byli w stanie udowodnić, że haker może naruszyć aplikacje, dane i konta dzierżawcy, tworząc bezpłatnego użytkownika w chmurze Azure i uruchamiając złośliwe funkcje platformy Azure.
Brzmi poważnie, ale można zachować spokój. Check Point od razu po wykryciu tych luk skontaktował się w tej sprawie z Microsoft i razem bardzo szybko opracowali niezbędne poprawki, które zostały udostępnione pod koniec 2019 roku. Tak więc zostały już załatane i nie zagrażają bezpieczeństwu użytkowników Azure Stack i Azure App.