Jonathan Greig er journalist baseret i New York City.
Fuld biografisk den 23. december 2021 | Emne: Microsoft
Microsofts Security Response Center har udgivet et blogindlæg, der forklarer dets svar på “NotLegit”-fejlen i Azure, som blev opdaget af skysikkerhedsfirmaet Wiz.
Wiz sagde, at alle PHP-, Node-, Ruby- og Python-applikationer, der blev implementeret ved hjælp af “Local Git” på en ren standardapplikation i Azure App Service siden september 2017, er påvirket. De tilføjede, at alle PHP-, Node-, Ruby- og Python-applikationer, der blev implementeret i Azure App Service fra september 2017 og frem ved at bruge enhver Git-kilde – efter at en fil blev oprettet eller ændret i applikationscontaineren – også var påvirket.
Microsoft præciserede i deres svar, at problemet påvirker App Service Linux-kunder, der implementerede applikationer ved hjælp af Local Git, efter at filer blev oprettet eller ændret i indholdsrodmappen. De forklarede, at dette sker “fordi systemet forsøger at bevare de aktuelt installerede filer som en del af lagerindholdet og aktiverer det, der omtales som in-place implementeringer af implementeringsmotor (Kudu).”
“Billederne, der blev brugt til PHP-runtime, blev konfigureret til at tjene alt statisk indhold i indholdsrodmappen. Efter at vi blev gjort opmærksomme på dette problem, opdaterede vi alle PHP-billeder for ikke at tillade visning af .git-mappen som statisk indhold som et forsvar i dybden. “, forklarede Microsoft.
De bemærkede, at ikke alle brugere af Local Git var påvirket af sårbarheden, og at Azure App Service Windows ikke var påvirket.
Microsoft har underrettet de kunder, der er berørt af problemet, inklusive dem, der blev påvirket på grund af aktiveringen af in-place implementering, og dem, der fik uploadet .git-mappen til indholdsmappen. Virksomheden opdaterede også sit sikkerhedsanbefalingsdokument med et ekstra afsnit om sikring af kildekode. Det opdaterede også dokumentationen for installationer på stedet.
Wiz Research Team sagde tirsdag, at det først underrettede Microsoft om problemet den 7. oktober og arbejdede med virksomheden gennem måneden for at løse det. Rettelsen blev implementeret i november, og kunderne blev underrettet i december. Wiz fik udbetalt en fejlbelønning på $7.500.
Microsoft sagde ikke, om sårbarheden er blevet udnyttet, men Wiz sagde, at “NotLegit” er “ekstremt nemt, almindeligt og bliver aktivt udnyttet.”
“For at vurdere chancen for eksponering med det problem, vi fandt, implementerede vi en sårbar Azure App Service-applikation, linkede den til et ubrugt domæne og ventede tålmodigt for at se, om nogen forsøgte at nå .git-filerne. Inden for 4 dage efter implementering, vi var ikke overraskede over at se flere anmodninger om .git-mappen fra ukendte skuespillere,” forklarede forskerne.
“Små grupper af kunder er stadig potentielt eksponerede og bør tage visse brugerhandlinger for at beskytte deres applikationer, som beskrevet i adskillige e-mail-advarsler, som Microsoft udsendte mellem den 7. – 15. december 2021.”
Wiz Research Team bemærkede, at utilsigtet afsløring af Git-mappen gennem brugerfejl er et sikkerhedsproblem, der har påvirket organisationer som FN og en række indiske regeringswebsteder.
Vectra CTO Oliver Tavakoli sagde, at virkningen af sårbarheden vil være meget varierende. At få adgang til kildekoden, der ligger til grund for en applikation (og muligvis andre filer, som kunne være blevet efterladt i samme mappe) kan give information, der kunne udnyttes til andre angreb, sagde Tavakoli.
“Det faktum, at forskerne opstillede, hvad der svarer til en honningpotte og så sårbarheden udnyttet i naturen, er særligt bekymrende, da det betyder, at sårbarheden ikke var en velbevaret hemmelighed,” forklarede Tavakoli.
JupiterOne feltsikkerhedsdirektør Jasmine Henry fortalte ZDNet, at lækket kildekode sætter en organisation i en utrolig sårbar position over for trusselsaktører, som øjeblikkeligt kan stjæle intellektuel ejendom eller lancere en udnyttelse, der er skræddersyet til unikke svagheder i kildekoden.
“NotLegit-sårbarheden er især øjenåbnende, da den fremhæver den voksende sikkerhedsrisiko forårsaget af privilegerede konti og tjenester, selv i fravær af udviklerfejl,” sagde Henry.
Sikkerhed
Log4j-trussel:10 spørgsmål, du skal stille Apache frigiver ny 2.17.0-patch til Log4j, løser DoS-sårbarhed Politiet finder 225 millioner stjålne adgangskoder på en hacket server . Er din en af dem? Hvordan denne virksomhed ikke betalte, da den blev ramt af ransomware De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Cloud | Enterprise Software | Vinduer | Windows 10 | Samarbejde | Anmeldelser