微软Azure爆重大安全漏洞，黑客可以秘密在虚拟机中安装程序

微软在本周二发布安全补丁更新以解决4个重大安全漏洞，攻击者可能会滥用这些漏洞来瞄准 Azure 云客户并提升特权，并允许远程接管易受攻击的系统。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，这些漏洞统称为OMIGOD的缺陷列表影响了一个鲜为人知的软件代理，称为开放管理基础设施，该代理自动部署在许多 Azure 服务中：

• CVE-2021-38647（CVSS 评分：9.8）——开放管理基础设施远程代码执行漏洞
• CVE-2021-38648（CVSS 评分：7.8）——开放管理基础架构提权漏洞
• CVE-2021-38645（CVSS 评分：7.8）——开放管理基础设施提权漏洞
• CVE-2021-38649（CVSS 评分：7.0）——开放式管理基础架构提权漏洞

开放管理基础设施 ( OMI ) 是Windows 管理基础设施 (WMI)的开源类似物，但专为 Linux 和 UNIX 系统而设计，例如 CentOS、Debian、Oracle Linux、Red Hat Enterprise Linux Server、SUSE Linux 和 Ubuntu，允许跨 IT 环境进行监控、库存管理和同步配置。

Linux 计算机上的 Azure 客户，包括 Azure 自动化、Azure 自动更新、Azure 操作管理套件 (OMS)、Azure 日志分析、Azure 配置管理和 Azure 诊断的用户，都面临潜在的利用风险。

Wiz 安全研究员 Nir ​​Ohfeld说： “当用户启用这些流行服务中的任何一个时，OMI 会默默地安装在他们的虚拟机上，以可能的最高权限运行。” “这是在没有客户明确同意或知情的情况下发生的。用户只需在设置过程中单击同意以进行日志收集，他们就会在不知不觉中选择加入。”

“除了 Azure 云客户，其他微软客户也受到影响，因为 OMI 可以独立安装在任何 Linux 机器上，并且经常在本地使用，”Ohfeld 补充道。

由于 OMI 代理以具有最高权限的 root 身份运行，上述漏洞可能被外部参与者或低权限用户滥用，在目标机器上远程执行代码并提升权限，从而使威胁参与者能够利用提升的权限发动复杂的攻击。

这四个漏洞中最关键的是远程代码执行漏洞，该漏洞由暴露于互联网的 HTTPS 端口（如 5986、5985 或 1270）引起，允许攻击者获得对目标 Azure 环境的初始访问权限，然后在网络中横向移动。

“这是一个教科书式的 RCE 漏洞，你可能会在 90 年代看到它——在 2021 年突然出现一个可以暴露数百万个端点的漏洞是非常不寻常的，”Ohfeld 说。“使用单个数据包，攻击者只需删除身份验证标头即可成为远程机器上的 root，就这么简单。”

“OMI 只是在云环境中预先安装并静默部署的‘秘密’软件代理的一个例子。需要注意的是，这些代理不仅存在于 Azure 中，还存在于Amazon AWS和Google Cloud中好。”