Azure-kwetsbaarheden gaven onderzoekers dezelfde rechten als Microsoft

Ethisch beveiligingsonderzoekers Sagi Tzadik en Nir Ohfeld van Wiz haalden in augustus dit jaar het nieuws omdat ze een kwetsbaarheid gevonden hadden in Microsofts Azure Cosmos DB database. Die kwetsbaarheid hielden ze stil totdat Microsoft een bugfix paraat had, wat binnen 48 uur gebeurde. Daarna bleef het stil. Maar het verhaal was niet af, vertellen Tzadik en Ohfeld in gesprek met DarkReading op de conferentie Black Hat Europe.

Groter lek dan gemeld 

Het lek in Cosmos DB was veel groter dan gemeld, waardoor Microsoft meer tijd nodig had om fixes uit te rollen. Dat is inmiddels gebeurd en dus kan het Wiz-team zijn verhaal doen. De originele kwetsbaarheid gaf elke Azure-gebruiker admin-toegang tot de informatie van andere gebruikers zonder hun toestemming. Dit lek trof duizenden organisaties, inclusief enorme ondernemingen. 

De Wiz-onderzoekers konden de verkeerde configuraties uit Cosmos DB namelijk koppelen en zo veel van Microsofts eigen data bemachtigen. Met die data, inclusief wachtwoorden, konden zij inloggen bij meer dan honderd Cosmos DB-beheerdersmenu's. Die menu's sturen Cosmos DB feitelijk aan. De onderzoekers verkregen zo ook informatie over hoe Microsoft Azure werkt - zeer gevoelige gegevens. 

'Bijna in staat om de dienst over te nemen'

Volgens de onderzoekers hadden zij de mogelijkheid om de werking van de Cosmos DB-dienst te beschadigen en toegang tot plaintext wachtwoorden van de bijbehorende Jupyter Notebook-dienst. Al met al vonden de onderzoekers naar eigen zeggen 25 'geheimen' en gebruikten zij er in één week 6 om tot hun onderzoek te komen. "We geloven dat wij bijna in staat waren om de hele dienst over te nemen", schrijven ze in een uitgebreide blogpost. Naar eigen zeggen hadden de onderzoekers evenveel rechten als Microsoft-medewerkers die het project ontwikkelen.