Kritische Sicherheitslücke in Microsoft Azure

IT-Bedrohungslage 2: Admins sollten System prüfen und patchen

22.09.2021

Die virtuellen Linux-Maschinen der Cloud-Plattform Azure sind über mehrere Schwachstellen angreifbar. Laut Medienmeldungen werden die Schwachstellen inzwischen ausgenutzt: Virtuelle Maschinen werden mit Schadcode infiziert um sie zum Beispiel als Bot oder Cryptominer zu missbrauchen. Admins der Bereiche, die Azure einsetzen, sollten ihre Systeme dringend prüfen und patchen. Der OMI Agent muss mindestens in der Version 1.6.8-1 installiert sein.

Analysten der das Thema Cloud-Sicherheit behandelnden Firma WIZ haben die Lücken entdeckt. Den höchsten Score hat mit 9.8 (CVSS3.0) die Schwachstelle CVE-2021-38647 (unauthentifizierte Remote Code Execution mit Root-Rechten über eine simple Netzwerkanfrage). Mit den übrigen Sicherheitslücken ist jeweils eine Privilegieneskalation möglich.

OMI wird auf Linux VMs in Azure automatisch installiert wenn einer oder mehrere der folgenden Dienste mit der VM genutzt werden:

  • Azure Automation
  • Azure Automatic Update
  • Azure Operations Management Suite (OMS)
  • Azure Log Analytics
  • Azure Configuration Management
  • Azure Diagnostics

Bewertung

Das Risiko einer Ausnutzung der Schwachstellen wird wegen der einfachen Ausnutzung, der Möglichkeit von Remote Code Execution mit Root-Rechten und dem möglichen Effekt für die Cloud-Umgebung als kritisch gewertet [CER2021].

Vorbedingung ist die Erreichbarkeit über das Internet. Innerhalb eines Kontos bei Azure ist die Schwachstelle schwerwiegender, wenn ein Angreifer über andere Schwachstellen wie Konfigurationsfehler oder weitere ungepatchte, angreifbare Software zusätzlich verfügen kann.

Es wurde eine gepatchte Version von OMI veröffentlicht. Diese muss aber in vielen Fällen manuell installiert werden. Zumindest zeitweise wurde von Microsoft beim Erstellen einer Linux-VM auch weiterhin die verwundbare Version ausgerollt.

Die Schwachstellen werden laut Medienmeldungen [BLE2021] inzwischen ausgenutzt. VMs werden hiernach aktuell mit Schadcode infiziert um sie bspw. als Bot oder Cryptominer zu missbrauchen.

Maßnahmen

Der OMI Agent muss mindestens in der Version 1.6.8-1 installiert sein. Administratoren wird dringend dazu geraten, auf Linux-VMs die Version des installierten OMI Agenten zu validieren. Ob der OMI Agent auf einer Linux-VM vorhanden ist, kann mit dem folgenden Befehl erkannt werden:

adminuser@linux-vm:~$ sudo dpkg -l omi

dpkg-query: no packages found matching omi

Das entsprechende Update ist nach der Anweisung von Microsoft [MSR2021] zu installieren. Hier finden sich auch Informationen darüber, für welche Systeme manuelle Updates benötigt werden, wie verwundbare Systeme erkannt und wie das Ausnutzen der Schwachstellen detektiert werden kann.

Quelle: BSI-Meldung „Microsoft Azure mit kritischer Sicherheitslücke“ (wird in neuem Tab geöffnet)