OMIGOD!

27. September 2021, Malte Rielinger | IT-Sicherheit

Supply-Chain-Angriffe sind in den letzten Jahren besonders häufig aufgetreten. Berühmte Beispiele sind dabei der SolarWinds-Hack, der Ransomware-Angriff auf Kaseya und ihre Kunden oder der Angriff auf Microsofts Exchange Server.

Jetzt traf es wieder Microsoft. Genauer gesagt fanden Sicherheitsforscher des Unternehmens Wiz gravierende Sicherheitslücken in der Azure-Cloud-Umgebung und ihren virtuellen Linux-Maschinen.

Betroffen sind Linux-Hosts, auf denen mindestens eins der folgenden Services/Tools genutzt wurde:
– Azure Automation
– Azure Automatic Update
– Azure Operations Management Suite (OMS)
– Azure Log Analytics
– Azure Configuration Management
– Azure Diagnostics
– Azure Container Insights

Bei ungepatchten Umgebungen besteht die Gefahr, dass Angreifer mit root-Rechten, also vollen Admin-Rechten, Schadcode ausführen können.

Hierbei liegt der Fehler in der Open Management Infrastructur (OMI). Ein von Microsoft gesponsertes Open-Source-Projekt, das ein Äquivalent zur Windows Management Infrastructure (WMI) für UNIX/Linux darstellt. Dabei wird OMI oft ohne das Wissen der Nutzer auf den virtuellen Maschinen installiert und läuft mit root-Rechten.

Um die Schwachstelle ausnutzen zu können, reicht es, eine Anfrage über das Netzwerk ohne Authentifizierung zu stellen. Dadurch nimmt der OMI-Daemon aufgrund nicht initialisierter Variablen an, dass der Benutzer mit der UID 0 und GID 0 angemeldet ist, dies ist auf jedem Unix/Linux-System root.

Mittlerweile hat Microsoft einen Patch für die Sicherheitslücken und FAQs zum weiteren Verfahren herausgebracht.