El pasado 6 de diciembre, Yanir Tsarimi, investigador de ciberseguridad en la nube de Orca Security, descubrió una vulnerabilidad crítica en Microsoft Azure Automation que permitía el acceso no autorizado a otras cuentas de clientes que usan este servicio de computación en la nube. El propio Tsarimi informó del hallazgo a Microsoft, que este lunes ha revelado públicamente esta vulnerabilidad en un comunicado en el que afirma que la solucionó pocos días después, el 10 de diciembre.
"Queremos agradecer a Yanir Tsarimi de Orca Security, que informó esta vulnerabilidad y trabajó con el Centro de Respuestas de Seguridad de Microsoft (MSRC) bajo el 'Coordinated Vulnerability Disclosure' (CVD) para ayudar a mantener seguros a los clientes de Microsoft", señala el comunicado, publicado por el MSRC en el blog de Microsoft.
La vulnerabilidad crítica de Azure Automation que ha reparado Microsoft
Como indica Microsoft, Azure Automation ofrece un servicio basado en la nube de automatización, actualización de sistemas operativos y configuración, que posibilita una administración coherente en sus sandboxes o entornos aislados, sean o no de Azure. Cada trabajo programado se ejecuta dentro de un sandbox, único para cada cliente.
La vulnerabilidad, denominada AutoWarp, permitía interactuar con un servidor interno que administra los sandboxes de otros clientes, según explica Tsarimi en el blog de Orca Security. "Logramos obtener tokens de autenticación para otras cuentas de clientes a través de ese servidor. Alguien con intenciones maliciosas podría haber tomado tokens constantemente y, con cada token, ampliar el ataque a más clientes de Azure", advierte.
Tsarimi también subraya que "este ataque podría suponer tomar el control total sobre los recursos y los datos pertenecientes a la cuenta objetivo, según los permisos asignados por el cliente". Además, apunta que un día después de descubrir la vulnerabilidad e informar a Microsoft, descubrieron que grandes empresas estaban en riesgo de que fuera explotada contra ellas. Entre ellas, señala que se encontraban empresa global de telecomunicaciones, dos fabricantes de automóviles, un conglomerado bancario y cuatro grandes firmas de contabilidad.
Microsoft: No hay evidencias de que AutoWarp haya sido explotada
Microsoft ha esperado hasta este lunes para anunciar que solo tardó cuatro días en solucionar esta vulnerabilidad, bloqueando el acceso a los tokens de identidades administradas en todos los entornos aislados, excepto los que tenían acceso legítimo.
La compañía notificó a todos los clientes afectados de Azure Automation y asegura que no ha encontrado ninguna evidencia de que los tokens se usaran indebidamente o de que AutoWarp se explotara en ciberataques.
"Las cuentas de automatización que usan un trabajador híbrido de automatización para la ejecución y/o las cuentas de ejecución de automatización para acceder a los recursos no se vieron afectadas", afirma Microsoft, que también aprovecha su comunicado para recomendar aplicar las prácticas de seguridad para Azure Automation recopiladas aquí.