微软在本周二发布安全补丁更新以解决4个重大安全漏洞,攻击者可能会滥用这些漏洞来瞄准 Azure 云客户并提升特权,并允许远程接管易受攻击的系统。
根据网络安全行业门户极牛网GEEKNB.COM的梳理,这些漏洞统称为OMIGOD的缺陷列表影响了一个鲜为人知的软件代理,称为开放管理基础设施,该代理自动部署在许多 Azure 服务中:
- CVE-2021-38647(CVSS 评分:9.8)——开放管理基础设施远程代码执行漏洞
- CVE-2021-38648(CVSS 评分:7.8)——开放管理基础架构提权漏洞
- CVE-2021-38645(CVSS 评分:7.8)——开放管理基础设施提权漏洞
- CVE-2021-38649(CVSS 评分:7.0)——开放式管理基础架构提权漏洞
开放管理基础设施 ( OMI ) 是Windows 管理基础设施 (WMI)的开源类似物,但专为 Linux 和 UNIX 系统而设计,例如 CentOS、Debian、Oracle Linux、Red Hat Enterprise Linux Server、SUSE Linux 和 Ubuntu,允许跨 IT 环境进行监控、库存管理和同步配置。
Linux 计算机上的 Azure 客户,包括 Azure 自动化、Azure 自动更新、Azure 操作管理套件 (OMS)、Azure 日志分析、Azure 配置管理和 Azure 诊断的用户,都面临潜在的利用风险。
Wiz 安全研究员 Nir Ohfeld说: “当用户启用这些流行服务中的任何一个时,OMI 会默默地安装在他们的虚拟机上,以可能的最高权限运行。” “这是在没有客户明确同意或知情的情况下发生的。用户只需在设置过程中单击同意以进行日志收集,他们就会在不知不觉中选择加入。”
“除了 Azure 云客户,其他微软客户也受到影响,因为 OMI 可以独立安装在任何 Linux 机器上,并且经常在本地使用,”Ohfeld 补充道。
由于 OMI 代理以具有最高权限的 root 身份运行,上述漏洞可能被外部参与者或低权限用户滥用,在目标机器上远程执行代码并提升权限,从而使威胁参与者能够利用提升的权限发动复杂的攻击。
这四个漏洞中最关键的是远程代码执行漏洞,该漏洞由暴露于互联网的 HTTPS 端口(如 5986、5985 或 1270)引起,允许攻击者获得对目标 Azure 环境的初始访问权限,然后在网络中横向移动。
“这是一个教科书式的 RCE 漏洞,你可能会在 90 年代看到它——在 2021 年突然出现一个可以暴露数百万个端点的漏洞是非常不寻常的,”Ohfeld 说。“使用单个数据包,攻击者只需删除身份验证标头即可成为远程机器上的 root,就这么简单。”
“OMI 只是在云环境中预先安装并静默部署的‘秘密’软件代理的一个例子。需要注意的是,这些代理不仅存在于 Azure 中,还存在于Amazon AWS和Google Cloud中好。”
极牛网精选文章《微软Azure爆重大安全漏洞,黑客可以秘密在虚拟机中安装程序》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16333.html