Kritische Azure-Lücke: Patch-Status derzeit unklar
Microsofts Cloud-Computing-Plattform Azure ist attackierbar. Sicherheitsforschern zufolge können Angreifer Schadcode auf Endpoints von Kunden ausführen.
(Bild: Sashkin/Shutterstock.com)
Derzeit sorgt eine "kritische" Lücke in Microsoft Azure für Aufsehen. So wie Sicherheitsforscher die Schwachstelle beschreiben, können Angreifer daran für eine Supply-Chain-Attacke ansetzen. Unklar ist derzeit, ob es bereits ein Sicherheitsupdate gibt.
Gefährliche Sicherheitslücke
Sicherheitsforscher von Trend Micros Zero Day Initiaitive beschreiben die Lücke mit Höchstwertung (CVSS Score 10 von 10) in einem kurzen Beitrag. Eine CVE-Nummer gibt es offensichtlich aber noch nicht.
Sie geben an, dass Angreifer die Lücke aus der Ferne ohne Authentifizierung ausnutzen können sollen. Klappt eine Attacke, sei die Anmeldung von Azure umgehbar. Der Fehler stecke innerhalb der Berechtigungen, die einem SAS-Token gewährt werden. Wie konkrete Attacken aussehen können, führen die Forscher derzeit nicht aus.
In dieser Position in Microsofts Cloud-Computing-Plattform Azure sollen Angreifer im Zuge einer Supply-Chain-Attacke Schadcode auf Endpoint-Systemen von Kunden ausführen können.
Gegenmaßnahmen?
Die Sicherheitsforscher teilten mit, die Schwachstelle im Oktober 2023 an Microsoft kommuniziert zu haben. Nun habe man Details zur Lücke veröffentlicht. Sie geben an, dass es bereits einen Sicherheitspatch geben soll. Für weitere Informationen dazu verlinken sie in Microsofts Security Update Guide. Dort steht aber nichts von einem Update.
Das Notfallteam CERT Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt wiederum an, dass es noch keine Lösung (Mitigation) für das Sicherheitsproblem gibt. Die Antwort auf eine Anfrage von heise Security an Microsoft steht derzeit noch aus.
Demzufolge bleibt vorerst unklar, wie Admins ihre Systeme vor möglichen Attacken schützen können. Ungeklärt ist zurzeit auch, ob es bereits Attacken gibt.
(des)
