以色列網(wǎng)絡(luò)安全公司Check Point的網(wǎng)絡(luò)安全研究人員近日披露了微軟Azure服務(wù)中兩個(gè)最近被修復(fù)的可能很危險(xiǎn)的漏洞的詳細(xì)信息：這些漏洞一旦被鉆空子，黑客可以攻擊在Azure上運(yùn)行Web和移動(dòng)應(yīng)用程序的公司企業(yè)。

Azure App Service是一項(xiàng)完全托管的集成服務(wù)，讓用戶能夠?yàn)槿魏纹脚_(tái)或設(shè)備創(chuàng)建Web和移動(dòng)應(yīng)用程序，并將它們與SaaS解決方案和本地應(yīng)用程序輕松集成起來、使業(yè)務(wù)流程實(shí)現(xiàn)自動(dòng)化。

據(jù)研究人員向知名網(wǎng)站The Hacker News出示的一份安全報(bào)告顯示，第一個(gè)安全漏洞（CVE-2019-1234）是一個(gè)服務(wù)器端請(qǐng)求欺騙漏洞，該漏洞影響了微軟的混合云計(jì)算軟件解決方案Azure Stack。

一旦被鉆空子，該漏洞將使遠(yuǎn)程黑客能夠未經(jīng)授權(quán)即可訪問在Azure基礎(chǔ)架構(gòu)上運(yùn)行的任何虛擬機(jī)的屏幕截圖和敏感信息——至于是在共享的虛擬機(jī)、專用的虛擬機(jī)還是隔離的虛擬機(jī)上運(yùn)行，并不重要。

據(jù)研究人員聲稱，該漏洞可以通過微軟Azure Stack Portal來鉆空子，用戶通過該界面來訪問使用Azure Stack創(chuàng)建的云。

通過使用一個(gè)未經(jīng)身份驗(yàn)證的內(nèi)部API，研究人員找到了一種方法，以獲取虛擬機(jī)名稱和ID、硬件信息（比如目標(biāo)機(jī)器的核心和總內(nèi)存），然后結(jié)合使用另一個(gè)未經(jīng)身份驗(yàn)證的HTTP請(qǐng)求以獲取屏幕截圖，如圖所示。

微軟Azure屏幕截圖

這個(gè)漏洞只影響Azure Stack，這也是一條“很有效的攻擊途徑”，Check Point的安全研究主管Yaniv Balmas說。“實(shí)際上，如果某人擁有龐大的Azure Stack環(huán)境，且有諸多租戶，我就能獲取其他機(jī)器的屏幕截圖。這可能很危險(xiǎn)，也可能不危險(xiǎn)，得看情況。”

而第二個(gè)漏洞（CVE-2019-1372）是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞影響了Azure Stack上的Azure App Service，這將使黑客能夠全面控制整個(gè)Azure服務(wù)器，進(jìn)而全面控制一家企業(yè)的商業(yè)代碼。Azure App Service讓用戶可以使用一種他們選擇的編程語言，構(gòu)建和托管Web應(yīng)用程序、移動(dòng)后端程序以及充分利用REST（restful）的API，無需管理基礎(chǔ)架構(gòu)。

更值得關(guān)注的是，攻擊者可以同時(shí)鉆這兩個(gè)漏洞的空子，只需在Azure Cloud創(chuàng)建一個(gè)免費(fèi)用戶帳戶，并在Azure Cloud上運(yùn)行惡意函數(shù)，或者將未經(jīng)身份驗(yàn)證的HTTP請(qǐng)求發(fā)送到Azure Stack用戶門戶網(wǎng)站。

Check Point發(fā)布了介紹第二個(gè)漏洞的詳細(xì)技術(shù)文章，但簡(jiǎn)而言之，該漏洞存在于動(dòng)態(tài) WAS服務(wù)（DWASSVC）中，這項(xiàng)服務(wù)負(fù)責(zé)管理和運(yùn)行租戶的應(yīng)用程序和IIS worker進(jìn)程，而這些進(jìn)程實(shí)際上運(yùn)行租戶的應(yīng)用程序，并為指定的任務(wù)彼此聯(lián)系。

由于Azure Stack未檢查緩沖區(qū)的長(zhǎng)度就將內(nèi)存內(nèi)容復(fù)制到緩沖區(qū)，攻擊者就可以鉆該漏洞的空子：只要向DWASSVC服務(wù)發(fā)送特別創(chuàng)建的消息，讓DWASSVC服務(wù)能夠以最高的NT AUTHORITY / SYSTEM權(quán)限在服務(wù)器上執(zhí)行惡意代碼。

設(shè)計(jì)人員說：“那么，攻擊者如何才能向DWASSVC（DWASInterop.dll）發(fā)送消息？按照設(shè)計(jì)，運(yùn)行C# Azure函數(shù)時(shí)，它在worker進(jìn)程（w3wp.exe）的上下文中運(yùn)行。”

“這讓攻擊者有可能枚舉目前打開的句柄（handle）。這樣一來，歐洲服務(wù)器，攻擊者就可以找到已經(jīng)打開的命名管道句柄，并發(fā)送特別創(chuàng)建的消息。”

Balmas說：“這讓人可以全面了解在同一個(gè)服務(wù)器上運(yùn)行的每個(gè)工作負(fù)載。我可以改動(dòng)，可以刪除，可以為所欲為。”

Check Point在博文中僅使用第二個(gè)漏洞就演示了如何可以鉆該漏洞的空子讓DWASSVC崩潰，免備案服務(wù)器，不過也可以利用該漏洞以提升權(quán)限。

Check Point的研究人員Ronen Shustin發(fā)現(xiàn)了這兩個(gè)漏洞，去年他負(fù)責(zé)任地向微軟報(bào)告了這些漏洞，防止黑客造成嚴(yán)重破壞和混亂。Shustin在博文中說，研究團(tuán)隊(duì)當(dāng)初開始研究Azure基礎(chǔ)架構(gòu)，是為了反駁“云基礎(chǔ)架構(gòu)很安全”這一觀念。

Balmas說：“這是云安全領(lǐng)域的一場(chǎng)惡夢(mèng)。這動(dòng)搖了云安全概念。你防止不了，你保護(hù)不了自己。唯一能防止、能保護(hù)的是云提供商。”

在去年年底給這兩個(gè)漏洞打上補(bǔ)丁之后，微軟按照其Azure漏洞懸賞計(jì)劃對(duì)Shustin獎(jiǎng)勵(lì)了40000美元。