Microsoft: Geschlossene Azure-Sicherheitslücke mit ungewissem Patch-Status

Microsoft: Azure-Lücke mit bislang unklarem Status ist bereits geschlossen

Detailenthüllungen der Azure-Schwachstelle


Ende letzter Woche wurden erstmals Details zu einer gravierenden Sicherheitslücke in Microsofts Azure bekannt. Der Fehler erlaubte Angreifern, eine Supply-Chain-Attacke durchzuführen und sich ohne Anmeldung bei Azure zu authentifizieren. Die Schwachstelle ermöglichte die Ausführung beliebigen Codes. Lange Zeit war unklar, ebenso wie der Patch-Status aussah – die Lücke sei laut Microsoft jedoch bereits geschlossen.



Aufdeckung durch Trend Micros ZDI


Trend Micros Zero Day Initiative (ZDI) beschrieb die Schwachstelle am vergangenen Freitag. Eigene CVE-Eintrag erhielt sie nicht. Der Schweregrad allerdings war kritisch und erreichte einen CVSS-Wert von 10 auf der 10-Punkte-Skala.



Fehler in Berechtigungen


Der Fehler lag in den Berechtigungen eines sogenannten SAS-Tokens. Dies ermöglichte Angreifern ohne vorherige Authentifizierung die Anmeldung bei Azure zu umgehen. Szenarien jedoch konkretisiert hat ZDI-Bericht nicht. Schadcode ließe sich aber angeblich auf Endpoints verteilen und dadurch eine Lieferkettenattacke möglich machen.



Unklarer Patch-Status im Oktober 2023


Analysten informierten Microsoft bereits im Oktober 2023 über die Lücke. Ein Patch existiere – in Microsoft Security Update Guide jedoch nichts gefunden werden konnte. Daher blieb der Patch-Status zunächst unklar.



Stellungnahme von Microsoft


Microsoft hat sich nun über heise online zum Status geäußert. Ein Sprecher teilte mit: „Dies wurde im November 2023 angegangen & Kunden sind bereits geschützt.“ Da Kunden keine Maßnahmen ergreifen mussten, wurde ebenfalls kein CVE-Eintrag erstellt.



Doch, ob Angriffe auf diese Schwachstelle erfolgten, bleibt weiterhin unklar. IT-Verantwortliche können aufatmen und diese Lücke als „erledigt“ betrachten.






Kommentare


Anzeige