Detailenthüllungen der Azure-Schwachstelle
Ende letzter Woche wurden erstmals Details zu einer gravierenden Sicherheitslücke in Microsofts Azure bekannt. Der Fehler erlaubte Angreifern, eine Supply-Chain-Attacke durchzuführen und sich ohne Anmeldung bei Azure zu authentifizieren. Die Schwachstelle ermöglichte die Ausführung beliebigen Codes. Lange Zeit war unklar, ebenso wie der Patch-Status aussah – die Lücke sei laut Microsoft jedoch bereits geschlossen.
Aufdeckung durch Trend Micros ZDI
Trend Micros Zero Day Initiative (ZDI) beschrieb die Schwachstelle am vergangenen Freitag. Eigene CVE-Eintrag erhielt sie nicht. Der Schweregrad allerdings war kritisch und erreichte einen CVSS-Wert von 10 auf der 10-Punkte-Skala.
Fehler in Berechtigungen
Der Fehler lag in den Berechtigungen eines sogenannten SAS-Tokens. Dies ermöglichte Angreifern ohne vorherige Authentifizierung die Anmeldung bei Azure zu umgehen. Szenarien jedoch konkretisiert hat ZDI-Bericht nicht. Schadcode ließe sich aber angeblich auf Endpoints verteilen und dadurch eine Lieferkettenattacke möglich machen.
Unklarer Patch-Status im Oktober 2023
Analysten informierten Microsoft bereits im Oktober 2023 über die Lücke. Ein Patch existiere – in Microsoft Security Update Guide jedoch nichts gefunden werden konnte. Daher blieb der Patch-Status zunächst unklar.
Stellungnahme von Microsoft
Microsoft hat sich nun über heise online zum Status geäußert. Ein Sprecher teilte mit: „Dies wurde im November 2023 angegangen & Kunden sind bereits geschützt.“ Da Kunden keine Maßnahmen ergreifen mussten, wurde ebenfalls kein CVE-Eintrag erstellt.
Doch, ob Angriffe auf diese Schwachstelle erfolgten, bleibt weiterhin unklar. IT-Verantwortliche können aufatmen und diese Lücke als „erledigt“ betrachten.
Kommentare