Microsoft: Azure-Lücke mit bislang unklarem Status ist bereits geschlossen

Ende vergangener Woche wurden Details zu einer Sicherheitslücke in Microsofts Azure bekannt. Sie erlaubte Angreifern eine Supply-Chain-Attacke, bei der sie die Anmeldung bei Azure umgehen und beliebigen Code ausführen konnten. Nachdem der Patch-Status bislang unklar war, hat Microsoft heise online nun mitgeteilt, dass die Lücke bereits geschlossen wurde.

Lesen Sie auch

Kritische Azure-Lücke: Patch-Status derzeit unklar

Die Schwachstelle hatte Trend Micros Zeor Day Initiative (ZDI) vergangene Woche beschrieben. Sie hat zwar keinen eigenen CVE-Eintrag erhalten, der Schweregrad ist jedoch kritisch bei einem CVSS-Wert von 10 (von 10 maximal möglichen Punkten). Ohne vorherige Authentifizierung konnten Angreifer sie missbrauchen und die Anmeldung von Azure umgehen. Ursächlich war ein Fehler in den Berechtigungen, die ein sogenannter SAS-Token erhalten habe. Konkrete Angriffsszenarien hat die ZDI nicht skizziert. Jedoch sollen Angreifer so Schadcode auf Endpoints verfrachten, also eine Lieferkettenattacke ausführen können.

Azure-Leck: Zunächst unklarer Patch-Status

Im Oktober 2023 hatten die ZDI-Analysten Microsoft über die Lücke informiert. Sie gaben zudem an, dass ein Patch bereits existiere – in Microsoft Security Update Guide fand sich jedoch nichts Entsprechendes, weshalb der Patch-Status unklar war. Das BSI weiß bislang auch noch nichts von "Gegenmaßnahmen" gegen die Lücke (Mitigation).

Microsoft hat heise online nun auf Anfrage zum Status der Sicherheitslücke geantwortet. "Dies wurde im November 2023 angegangen und Kunden sind bereits geschützt", sagte ein Microsoft-Sprecher. "Da keine Kunden-Aktionen nötig waren, wurde auch kein CVE-Eintrag angelegt", erläutern die Redmonder weiter.

Es bleibt jedoch weiter unklar, ob es bereits Angriffe auf diese Schwachstelle gab. Immerhin müssen IT-Verantwortliche nicht weiter aktiv werden und können diese Sicherheitslücke auf den Stapel "erledigt" ablegen.

(dmk)