Anzeige

Der Cloud-Sicherheitsanbieter Wiz, der kürzlich durch die Entdeckung einer massiven Schwachstelle im von Microsoft Azure verwalteten Datenbankdienst CosmosDB Schlagzeilen machte, hat eine weitere Lücke in Azure gefunden.

Die neue Schwachstelle wirkt sich auf virtuelle Linux-Maschinen unter Azure aus. Sie findet sich in einem eher wenig bekannten Dienst namens OMI. Dieser wird als eine Art Nebenprodukt bei der Aktivierung einer der verschiedenen Protokollierungs-, Berichts- und/oder Verwaltungsoptionen in der Azure-Benutzeroberfläche installiert. Im schlimmsten Fall lässt sich die OMI-Schwachstelle benutzen, um Remote Root Code auszuführen. Allerdings beschränkt die standardmäßig aktivierte Outside-the-VM-Firewall von Azure diese Möglichkeit bei den meisten Kunden auf interne Netzwerke.

Dazu ein Kommentar von Dr. George Papamargaritis, MSS Director, Obrela Security Industries:

"Dieser Befund hängt mit einer typischen Schwachstelle bei der Eingabevalidierung zusammen, d. h. das System validiert die Eingabedaten gar nicht oder falsch, und verhindert so, dass sie sicher für Backend-Anwendungen und Workflows verwendet werden können. Das kann verschiedene Ursachen haben. Zum einen ein schwaches Design der zugrunde liegenden Architektur, zum anderen fehlende Tests, um das Problem bereits in der Implementierungsphase zu erkennen.

Wenn solche Schwachstellen ausgenutzt werden, hat das Auswirkungen auf die Verfügbarkeit des Dienstes sowie die Vertraulichkeit oder die Integrität der Daten. In diesem Stadium ist das allerdings eher unwahrscheinlich, denn die standardmäßig eingeschaltete Azure-Firewall außerhalb der VM würde dafür sorgen, dass sich die Folgen bei den meisten Kunden auf die internen Netzwerke beschränken.

Trotzdem sollte man sich mit möglichen Abhilfemaßnahmen befassen. Das sind beispielsweise die Durchsetzung sicherer Code Tactics beim Architekturdesign, insbesondere in Open-Source-Projekten, eine bessere Qualitätssicherung bei der Implementierung, gerade wenn Open-Source-Komponenten wiederverwendet werden und nicht zuletzt häufig durchgeführte Schwachstellenbewertungen (Web-/Datenbank-Scans, Quellcodeüberprüfungen) in Kombination mit Methoden, um genau solche Schwachstellen in Anwendungen zu erkennen."

www.obrela.com


Weitere Artikel

E-Rechnung

Elektronische Rechnungen kommen zunehmend besser an

Die elektronische Rechnung kommt in Deutschland immer schneller voran. Inzwischen versenden 4 von 10 Unternehmen (43 Prozent) E-Rechnungen. Vor einem Jahr lag der Anteil erst bei rund einem Drittel (3o Prozent), vor drei Jahren war es nur jedes Fünfte (19…
Social Media

Social Media: Nur eine Minderheit folgt Politiker-Accounts

Auf den Social-Media-Accounts von einiger Politikerinnen und Politikern werden sich demnächst wohl direkte Eindrücke aus Sondierungsrunden oder Koalitionsverhandlungen im Bund und einigen Ländern finden. Doch die große Mehrheit der Bürgerinnen und Bürger…
Akquisition

Dynatrace übernimmt SpectX

Das Software-Intelligence-Unternehmen Dynatrace hat die Übernahme des High-Speed-Parsing- und Query-Analytics-Unternehmens SpectX abgeschlossen und bettet künftig die SpectX-Technologie in die eigene Software-Intelligence-Plattform mit ein.
Online-Beratung

Online-Beratung bei Finanzierungsanbietern mit Schwächen

Die Möglichkeiten der Online-Beratung werden von den Finanzierungsanbietern nicht ausgeschöpft. Statt auf individuelle Bedürfnisse der Immobilienkäufer einzugehen, setzen die Baufinanzierer vornehmlich auf Terminvereinbarungen und eine Konditionsermittlung…
it-sa 2021

it-sa 2021 vom 12. bis 14. Oktober in Nürnberg

Auf 52,5 Mrd. Euro schätzt das Institut der deutschen Wirtschaft die finanziellen Schäden, die im letzten Jahr durch Hackerangriffe auf Mitarbeiter im Homeoffice entstanden. Als Fachmesse für IT-Sicherheit widmet sich die it-sa vom 12. bis 14. Oktober der…
Videocall

Ärger um Vergabe von Videosystem geht in nächste Runde

Im juristischen Streit über die Vergabe eines Auftrags für ein landesweites Videokonferenzsystems an Hessens Schulen wehrt sich das Land gegen eine Entscheidung der Vergabekammer. Nach den Worten eines Sprechers des Kultusministeriums in Wiesbaden wurde…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.