Un error de configuración de Microsoft Azure podría haberles abierto la puerta a delincuentes informáticos a máquinas virtuales y cubos de almacenamiento basados en la nube.
La vulnerabilidad del servicio, catalogado por la firma de Redmond como “un conjunto completo y en expansión constante de servicios de informática en la nube”, fue revelado por Threatpost basándose en informes de CyberArk.
La investigación relacionó la falla con el análisis de URL dentro de un archivo JavaScript utilizado en el manifiesto de extensión de Azure, según lo explicó Omer Tsarfati, investigador de seguridad informática.
Un manifiesto, explicó Threatpost, es un archivo de configuración JavaScript Object Notation (JSON), es decir, un formato liviano para almacenar y transportar datos enviados desde un servidor a una página en internet, que define la configuración que deben usar las aplicaciones web.
Durante su análisis, los expertos observaron “informes de telemetría enviados a un dominio no existente y que la mayoría de esas solicitudes de telemetría incluyen tokens de acceso”.
Particularmente, los tokens de acceso son “objetos que describen el contexto de seguridad de un proceso o subproceso”, según la definición de Microsoft. “La información en un token incluye la identidad y los privilegios de la cuenta de usuario asociada con el proceso o el hilo”, complementó Threatpost.
El mismo medio contó que CyberArk creó dos exploits de prueba de concepto (PoC) contra la vulnerabilidad con el objetivo de obtener el control de los tokens de acceso de los usuarios.
“Ambos aprovechan el error cometido por Microsoft en el código de manifiesto de su portal de Azure (…) El error provocó que Azure intentara conectarse a un nombre de host inexistente ‘urehubs’”, detalló.
De acuerdo con CyberArk, el error data del 6 de septiembre de 2019, pero Microsoft lo solucionó “involuntariamente” dos semanas más tarde como parte de una actualización regular de la plataforma.
“Con tres líneas de código, cerró la puerta a los hackers (…) Microsoft logró mitigar la vulnerabilidad al garantizar que la URL no sea solo la ruta, sino una URL válida completa”, detalló la firma de seguridad informática.
Threatpost concluyó que los investigadores han enfatizado que la vulnerabilidad “sirve como un precedente de otros posibles errores en la nube”, motivo por el cual “las empresas deben mantenerse alerta cuando se trata de confiar en una infraestructura y la seguridad de terceros”.
“Los servicios en la nube son excelentes opciones para muchas empresas. Sin embargo, confiar en ‘la infraestructura de otra persona’ depende de las medidas de seguridad de un tercero, lo que puede ser una práctica arriesgada “, reflexionó Tsarfati.
