Microsoft đang cảnh báo về khả năng lạm dụng Thẻ dịch vụ Azure bởi các tác nhân độc hại để giả mạo các yêu cầu từ một dịch vụ đáng tin cậy và vượt qua các quy tắc tường lửa, do đó cho phép họ truy cập trái phép vào tài nguyên đám mây.
"Trường hợp này làm nổi bật rủi ro cố hữu trong việc sử dụng thẻ dịch vụ như một cơ chế duy nhất để kiểm tra lưu lượng mạng đến", Trung tâm Ứng phó Bảo mật của Microsoft (MSRC) cho biết trong một hướng dẫn được ban hành vào tuần trước.
"Thẻ dịch vụ không được coi là ranh giới bảo mật và chỉ nên được sử dụng như một cơ chế định tuyến kết hợp với kiểm soát xác thực. Thẻ dịch vụ không phải là cách toàn diện để bảo mật lưu lượng truy cập đến nguồn gốc của khách hàng và không thay thế xác thực đầu vào để ngăn chặn các lỗ hổng có thể liên quan đến yêu cầu web.
Tuyên bố này được đưa ra để đáp lại những phát hiện từ công ty an ninh mạng Tenable, phát hiện ra rằng các khách hàng Azure có quy tắc tường lửa dựa trên Thẻ dịch vụ Azure có thể bị bỏ qua. Không có bằng chứng cho thấy tính năng này đã được khai thác trong tự nhiên.
Vấn đề, cốt lõi của nó, bắt nguồn từ thực tế là một số dịch vụ Azure cho phép lưu lượng truy cập đến thông qua thẻ dịch vụ, có khả năng cho phép kẻ tấn công trong một đối tượng thuê gửi các yêu cầu web được tạo đặc biệt để truy cập tài nguyên trong một đối tượng thuê khác, giả sử nó đã được định cấu hình để cho phép lưu lượng truy cập từ thẻ dịch vụ và không thực hiện bất kỳ xác thực nào của riêng nó.
Tại 10 dịch vụ Azure đã được tìm thấy dễ bị tấn công: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer và Azure Chaos Studio.
"Lỗ hổng này cho phép kẻ tấn công kiểm soát các yêu cầu phía máy chủ, do đó mạo danh các dịch vụ Azure đáng tin cậy", nhà nghiên cứu Liv Matan của Tenable cho biết. "Điều này cho phép kẻ tấn công vượt qua các biện pháp kiểm soát mạng dựa trên Thẻ dịch vụ, thường được sử dụng để ngăn chặn quyền truy cập công khai vào tài sản, dữ liệu và dịch vụ nội bộ của khách hàng Azure."
Đáp lại việc tiết lộ vào cuối tháng 1/2024, Microsoft đã cập nhật tài liệu để lưu ý rõ ràng rằng "Chỉ riêng Thẻ dịch vụ là không đủ để đảm bảo lưu lượng truy cập mà không xem xét bản chất của dịch vụ và lưu lượng truy cập mà nó gửi".
Khách hàng cũng nên xem lại việc sử dụng thẻ dịch vụ của họ và đảm bảo rằng họ đã áp dụng lan can bảo mật đầy đủ để chỉ xác thực lưu lượng mạng đáng tin cậy cho các thẻ dịch vụ.