พบช่องโหว่ดาวน์โหลดโทเค็นจากผู้ใช้รายอื่นในบริการ Azure Automation, ไมโครซอฟท์แก้ไขแล้ว

Orca Security รายงานถึงช่องโหว่ของ Azure Automation บริการรันสคริปต์อัตโนมัติสำหรับการจัดการทรัพยากรต่างๆ ใน Azure ทำให้คนร้ายสามารถขโมยโทเค็นจากผู้ใช้บริการนี้รายอื่นๆ ที่อยู่บนเซิร์ฟเวอร์ตัวเดียวกันได้

บริการ Azure Automation โดยปกติแล้วเป็นการรันสคริปต์ PowerShell หรือ Python เพื่อจัดการทรัพยากร เช่นการปิดเครื่องนอกเวลาทำการ ตัวสคริปต์นั้นจะใช้โทเค็นบัญชีที่มีสิทธิ์ตามที่ผู้ใช้เปิดให้บริการ Automation

ทาง Orca Security ส่งสคริปต์ Python เพื่อสร้าง reverse shell เข้าไปสำรวจในเครื่อง Automation พบว่ามันคือวินโดวส์ที่ถูกจำกัดคำสั่งต่างๆ เอาไว้ แต่บนเครื่องกลับมีเว็บเซิร์ฟเวอร์รันอยู่ในพอร์ต 40008 เมื่อสำรวจดูก็พบว่าเป็น orchestrator ของบริการ Automation เอง และหากส่ง HTTP GET พร้อมกับ JSON ที่ระบุพารามิเตอร์ถูกต้อง เช่น Metadata: True หรือระบุ resource ที่ต้องการ พอร์ตเหล่านี้ก็จะคืนค่าโทเค็นสำหรับ Azure กลับมาให้

ปรากฎว่าเมื่อไล่สแกนพอร์ตอื่นๆ ในย่านเดียวกัน ด้วยพารามิเตอร์แบบเดียวกัน ตัว orchestrator ก็จะคืนโทเค็นของลูกค้า Azure รายอื่นๆ ที่ใช้บริการ Azure Automation กลับคืนมา หากลูกค้ารายนั้นตั้งสิทธิ์ของ Azure Automation ไว้สูง โทเค็นที่ได้กลับมาก็จะมีสิทธิ์สูงไปด้วย

ทาง Orca Security แจ้งช่องโหว่นี้ไปยังไมโครซอฟท์ตั้งแต่วันที่ 6 ธันวาคมที่ผ่านมา และไมโครซอฟท์ก็ปิดช่องโหว่ตั้งแต่วันที่ 10 ธันวาคม โดยยืนยันว่าไม่พบว่ามีการใช้ช่องโหว่นี้โจมตีมาก่อน พร้อมกับแจ้งลูกค้าที่ได้รับผลกระทบแล้ว

ที่มา - Orca Security, Microsoft