Microsoft Cloud: Massive Schwachstelle aufgedeckt


Microsoft Azure, die Cloud-Plattform von Microsoft, wies offenbar über einen längeren Zeitraum hinweg eine massive Schwachstelle auf. Die sogenannte SynLapse-Lücke ermöglichte es HackerInnen, sich über Umwege Zugriff auf die von Microsoft gehosteten Virtual Machines anderer NutzerInnen zu verschaffen.


Bereits Anfang des Jahres, am 4. Januar 2022, meldete das Forschungsteam der Firma Orca Security dem Microsoft Security Response Center (MSRC) eine massive Schwachstelle in dessen Cloud-Dienst Microsoft Azure – zusammen mit Schlüsseln und Zertifikaten, die das Forschungsteam extrahieren konnten. Die von ihrem Entdecker Tzah Pahima als „SynLapse“ benannte Sicherheitslücke ermöglichte es AngreiferInnen offenbar, auf die Virtual Machines anderer Cloud-KundInnen von Microsoft zuzugreifen, wenn diese über den Dienst Azure Synapse auf den Microsoft-Servern laufen. Offenbar war die Abtrennung zwischen den unterschiedlichen KundenInnen nicht ausreichend abgesichert.


Leichter Zugriff auf fremde Inhalte

SynLapse ermöglichte es HackerInnen mit vergleichbar wenig Aufwand über eine interne Programmierschnittstelle (API) den Speicherinhalt eines Prozesses zu erlangen, diesen über externe Verbindungen zu verwalten und so an die Zugangsdaten für Datenbanken, Server und andere Azure-Dienste anderer KundInnen zu gelangen.

Durch die Verkettung einer Reihe von Angriffsmöglichkeiten war es letztlich möglich, Angriffe durchzuführen, bei denen sich in einer beliebigen per Azure Synapse gehosteten Virtual Machine Code ausführen ließ. Die AngreiferInnen mussten lediglich den Namen des jeweiligen Synapse Workspace kennen.


Über 100 Tage bis zum finalen Patch

Wie Orca Security jetzt bekannt gab, dauerte es nach der ersten Meldung der SynLapse-Lücke Anfang Januar über 100 Tage, bis das MSRC eine endgültige Lösung finden und bereitstellen konnte. Zwei erste Patches Ende März und am 10. April konnten vom Orca Security-Forschungsteam erneut umgangen werden. Erst am 15. April 2022 konnte das MSRC einen Patch zur Verfügung stellen, der die gemeldeten Angriffsvektoren beheben konnte.

Am 9. Mai veröffentlichten sowohl Orca Security als auch das MSRC Blogs, in denen die Schwachstelle, Abhilfemaßnahmen und Empfehlungen für KundInnen beschrieben wurden. Ende Mai stellte Microsoft schließlich eine umfassendere Tenant-Isolierung bereit – einschließlich ephemerer Instanzen und skalierter Token für die gemeinsam genutzten Azure Integration Runtimes.


Quelle: Orca Security