Datalek in Microsoft Azure legt gevaren van koppelingen voor het delen van bestanden bloot

Een al te tolerante link voor het delen van bestanden gaf publieke toegang tot een enorme opslagbucket van 38 TB met privé Microsoft-gegevens, waardoor een verscheidenheid aan ontwikkelingsgeheimen – waaronder wachtwoorden, Teams-berichten en bestanden van de werkstations van twee werknemers – toegankelijk bleven voor aanvallers.

Clouddatabeveiligingsbedrijf Wiz bracht een advies uit over het incident, dat volgens hem voortkwam uit het gebruik van een Microsoft Azure-functie die bekend staat als een Shared Access Signature (SAS)-token, waarmee gebruikers met een link toegang kunnen krijgen tot een anderszins privé-gegevensopslagplaats. De specifieke risicorepository behoorde toe aan de AI-onderzoeksafdeling van Microsoft, die – in zijn openbare GitHub-repository – gebruikers opdracht gaf om open source-images en code uit de Azure Storage-bucket te downloaden via de SAS-link.

De koppeling was echter verkeerd geconfigureerd en gaf toegang tot de volledige privéopslag, waardoor de gevoelige bestanden en gegevens openbaar werden.

Het incident onderstreept het potentieel voor beveiligingsfouten bij het gebruik van SAS-koppelingen, zegt Ami Luttwak, chief technology officer en mede-oprichter van clouddatabeveiligingsbedrijf Wiz.

“De AI-onderzoeker wilde alleen een database delen, wat prima is, maar hoe weet ik of mijn gebruikers – met wie ze iets willen delen – per ongeluk ons hele opslagaccount delen”, zegt hij. “Ze gaven zelfs schrijfrechten, niet alleen leesrechten, dus het had zelfs kunnen leiden tot uitvoering op afstand.”

De afgelopen vijf jaar zijn de opslagdiensten van grote cloudproviders een belangrijk doelwit geworden van zowel onderzoekers als aanvallers. In 2020 zal een een half miljoen documenten met betrekking tot een financiële app werden openbaar gemaakt vanwege een verkeerd geconfigureerde Amazon Web Services S3-bucket. In 2017 hebben twee AWS S3-buckets gevoelige gegevens openbaar gemaakt duizenden Amerikaanse veteranen en miljoenen abonnees van de Time-Warner-kabel. Microsoft Azure is niet immuun: een beveiligingsbedrijf ontdekte vorig jaar dat gegevens van potentiële klanten mogelijk in gevaar zijn gekomen een verkeerd geconfigureerd eindpunt voor cloudopslag.

In het laatste incident bevestigde Microsoft de details van het Wiz-advies, waarbij hij opmerkte dat het bedrijf contact had opgenomen met Microsoft via het gecoördineerde openbaarmakingsproces van kwetsbaarheden.

“De gegevens die in dit opslagaccount werden getoond, omvatten back-ups van de werkstationprofielen van twee voormalige werknemers en interne Microsoft Teams-berichten van deze twee werknemers met hun collega’s”, aldus de woordvoerder. Dit meldt Microsoft Security Response Center (MSRC). bij een advies. “Er zijn geen klantgegevens openbaar gemaakt en er zijn geen andere interne diensten in gevaar gekomen door dit probleem. Er is geen actie van de klant vereist als reactie op dit probleem.”

Gedeelde toegang in het geheim

Met de SAS-functie van Azure kunnen gebruikers specifieke toegang verlenen tot specifieke bestanden en bronnen in hun opslagaccount. De gebruiker heeft nauwkeurige controle over de bronnen waartoe toegang kan worden verkregen, de machtigingen die de koppeling toestaat en hoe lang het SAS-token geldig is. Er zijn drie verschillende typen Shared Access Signatures, waaronder gebruikersdelegatie, service- en account-SAS-tokens.

Werknemers die toegang tot bronnen toestaan, worden echter niet gemakkelijk gecontroleerd, zegt Luttwak van Wiz.

“Er is in Azure geen manier om te controleren welke machtigingen zijn verleend, omdat Azure niet op de hoogte is van alle tokens die zijn gemaakt”, zegt hij. “Dat betekent dat de beveiligingsteams feitelijk geen enkele manier hebben om deze tokens te monitoren of er enig beheer over te doen. En dat is beangstigend.”

Wiz is niet het enige bedrijf dat waarschuwt voor de gevaren van het Azure share-by-link-mechanisme. Uit beveiligingsbeoordelingen is vaak gebleken dat er onveilige Azure Storage-accounts zijn, zelfs als een bepaalde klant geen probleem had met het beveiligen van zijn Amazon S3-opslagbuckets, zegt Tom Ellson, hoofd offensieve beveiliging bij Jumpsec Labs, in een vorig jaar gepubliceerd advies.

“Azure Storage Accounts zijn het Microsoft-equivalent van Amazon S3-buckets en zijn vatbaar voor veel van dezelfde uitdagingen”, aldus hij. “Namelijk dat ze – net als bij andere clouddiensten – vaak worden ingezet door teams zonder de beveiligingskennis om ze effectief te configureren, en dat standaardimplementaties vaak het noodzakelijke niveau van controle voor hun omgeving zullen ontberen, tenzij ze expliciet worden mogelijk gemaakt door de IT-team.”

Zeg gewoon neen?

Er zijn zoveel valkuilen bij het opzetten van SAS-tokens dat Wiz's Luttwak afraadt om ooit het mechanisme te gebruiken om bestanden te delen vanuit een privécloudopslagaccount. In plaats daarvan zouden bedrijven een openbaar account moeten hebben van waaruit middelen worden gedeeld, zegt hij.

"Dit mechanisme is zo riskant dat onze aanbeveling in de eerste plaats is om nooit openbare gegevens te delen binnen uw opslagaccount. Maak een volledig afzonderlijk opslagaccount, alleen voor openbaar delen", zegt Luttwak. “Dat verkleint het risico op misconfiguratie aanzienlijk. U wilt openbare gegevens delen, een extern opslagaccount voor openbare gegevens maken en alleen dat gebruiken.”

Voor bedrijven die specifieke bestanden uit privéopslag willen blijven delen met behulp van SAS-URL's, heeft Microsoft de mogelijkheid toegevoegd als onderdeel van GitHub's monitoring van de openbaarmaking van inloggegevens en geheimen. Het bedrijf heeft alle opslagplaatsen opnieuw gescand, het bedrijf vermeld in zijn advies.

Microsoft raadt Azure-gebruikers aan zich te beperken tot SAS-tokens met een korte levensduur, het principe van de minste bevoegdheden toe te passen en een intrekkingsplan te hebben.

“Zoals elk geheim moeten SAS-tokens op de juiste manier worden aangemaakt en verwerkt”, aldus Microsoft in het advies. “Zoals altijd moedigen we klanten ten zeerste aan om onze best practices te volgen bij het gebruik van SAS-tokens om het risico van onbedoelde toegang of misbruik te minimaliseren.”

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
Bron: https://www.darkreading.com/cloud/microsoft-azure-data-leak-exposes-dangers-of-file-sharing-links

Generatieve data-intelligentie

Datalek in Microsoft Azure legt de gevaren van koppelingen voor het delen van bestanden bloot

Gedeelde toegang in het geheim

Zeg gewoon neen?

Bitcoin leidt 30-daagse NFT-verkopen en overtreft 24 Blockchain-concurrenten

De geweldige technische verhalen van deze week van overal op internet (tot en met 27 april)

Laatste intelligentie

Prioriteit geven aan first-mover-voordeel boven beveiliging zorgt ervoor dat defi-protocollen kwetsbaar zijn voor hacks – Nikita Ovchinnik

HKTDC onthult evenementen voor geschenken, drukwerk, verpakkingen en licenties

Carlie Hanson brengt hulde met haar oprechte cover van Alice In Chains' 'Nutshell'

Hyundai gaat meer hybrides bouwen om de afnemende vraag naar elektrische voertuigen aan te vullen – Autoblog

Drake bedreigd met rechtszaak over Tupac AI-zang

Exclusieve Trump Bitcoin NFT's met aangepaste rangtelwoorden voor kopers van 'Mugshot Edition' - CryptoInfoNet