Anzeige

Der Cloud-Sicherheitsanbieter Wiz, der kürzlich durch die Entdeckung einer massiven Schwachstelle im von Microsoft Azure verwalteten Datenbankdienst CosmosDB Schlagzeilen machte, hat eine weitere Lücke in Azure gefunden.

Die neue Schwachstelle wirkt sich auf virtuelle Linux-Maschinen unter Azure aus. Sie findet sich in einem eher wenig bekannten Dienst namens OMI. Dieser wird als eine Art Nebenprodukt bei der Aktivierung einer der verschiedenen Protokollierungs-, Berichts- und/oder Verwaltungsoptionen in der Azure-Benutzeroberfläche installiert. Im schlimmsten Fall lässt sich die OMI-Schwachstelle benutzen, um Remote Root Code auszuführen. Allerdings beschränkt die standardmäßig aktivierte Outside-the-VM-Firewall von Azure diese Möglichkeit bei den meisten Kunden auf interne Netzwerke.

Dazu ein Kommentar von Dr. George Papamargaritis, MSS Director, Obrela Security Industries:

"Dieser Befund hängt mit einer typischen Schwachstelle bei der Eingabevalidierung zusammen, d. h. das System validiert die Eingabedaten gar nicht oder falsch, und verhindert so, dass sie sicher für Backend-Anwendungen und Workflows verwendet werden können. Das kann verschiedene Ursachen haben. Zum einen ein schwaches Design der zugrunde liegenden Architektur, zum anderen fehlende Tests, um das Problem bereits in der Implementierungsphase zu erkennen.

Wenn solche Schwachstellen ausgenutzt werden, hat das Auswirkungen auf die Verfügbarkeit des Dienstes sowie die Vertraulichkeit oder die Integrität der Daten. In diesem Stadium ist das allerdings eher unwahrscheinlich, denn die standardmäßig eingeschaltete Azure-Firewall außerhalb der VM würde dafür sorgen, dass sich die Folgen bei den meisten Kunden auf die internen Netzwerke beschränken.

Trotzdem sollte man sich mit möglichen Abhilfemaßnahmen befassen. Das sind beispielsweise die Durchsetzung sicherer Code Tactics beim Architekturdesign, insbesondere in Open-Source-Projekten, eine bessere Qualitätssicherung bei der Implementierung, gerade wenn Open-Source-Komponenten wiederverwendet werden und nicht zuletzt häufig durchgeführte Schwachstellenbewertungen (Web-/Datenbank-Scans, Quellcodeüberprüfungen) in Kombination mit Methoden, um genau solche Schwachstellen in Anwendungen zu erkennen."

www.obrela.com


Weitere Artikel

Activision Blizzard

Microsoft übernimmt Gamesfirma Activision Blizzard

Microsoft übernimmt in einem fast 70 Milliarden Dollar schweren Deal den großen Videospieleanbieter Activision Blizzard. Der Software-Riese, der hinter der Xbox-Spielekonsole steht, sichert sich damit populäre Spiele wie «Call of Duty», «Overwatch» und «Candy…
Ericsson

Patentklagen: Ericsson geht gegen Apple vor

Nach dem Auslaufen eines Patentdeals zwischen Ericsson und Apple zieht der schwedische Netzwerk-Ausrüster vor Gericht. In Klagen in Texas wirft Ericsson dem iPhone-Konzern die Verletzung von insgesamt zwölf Patenten vor.
Euro

IT-Ausgaben werden 2022 um 5,1 % steigen

Laut dem Research- und Beratungsunternehmen Gartner werden sich die weltweiten IT-Ausgaben im Jahr 2022 auf 4,5 Billionen US-Dollar erhöhen, was einem Anstieg von 5,1 % gegenüber 2021 entspricht.
Chrome

Chrome nagelt User auf Suchmaschine fest

Nutzer des aktuellen Google-Webbrowsers Chrome (Version 97) können in den Einstellungen ab sofort nicht mehr die per Default gesetzten Suchmaschinen aus der Liste entfernen. Gleiches trifft auch auf das freie Chromium-Projekt zu, wie Reddit-User berichten.
Corona Warn App

Ob 2G oder 3G plus: Neue Version der Corona-Warn-App zeigt Status an

Die offizielle Corona-Warn-App des Bundes ist in einer neuen Version in der Lage, gültige Impf- oder Genesenenzertifikate sowie einen digitalen Testnachweis in einen Gesamtstatus zusammenzufassen. Das teilten die Betreiber der App, die SAP und Deutsche…
Social Media Commerce

Nebenbei einkaufen: Social Commerce wird zum Billiardengeschäft

Das Einkaufen auf Social-Media-Plattformen wie Instagram und TikTok wird bis 2025 weltweit 1,2 Bio. Dollar (2021: 492 Mrd. Dollar) erreichen, wie der Bericht "Why Shopping's set for a social Revolution" der Unternehmensberatung Accenture prognostiziert. Dies…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.