Ερευνητές κυβερνοασφάλειας από την εταιρεία ασφάλειας cloud Orca Security ανακάλυψαν μια νέα ευπάθεια leo thang προνομίων στην υπηρεσία Azure Machine Learning (AML). Το κενό ασφαλείας επέτρεπε σε επιτιθέμενους με πρόσβαση μόνο σε έναν συνδεδεμένο λογαριασμό αποθήκευσης να τροποποιήσουν σενάρια και να εκτελέσουν αυθαίρετο κώδικα εντός των αγωγών AML, οδηγώντας δυνητικά σε πλήρη παραβίαση της συνδρομής υπό προεπιλεγμένες διαμορφώσεις.
Η ευπάθεια πήγαζε από τον τρόπο με τον οποίο το Azure ML διαχειρίζεται την εκτέλεση αγωγών μέσω σεναρίων που υποστηρίζονται από τον χώρο αποθήκευσης. Η Orca διαπίστωσε ότι τα σενάρια κλήσης, τα οποία δημιουργούνται αυτόματα για κάθε στοιχείο αγωγού AML και αποθηκεύονται σε έναν συνδεδεμένο λογαριασμό αποθήκευσης, θα μπορούσαν να χρησιμοποιηθούν καταχρηστικά για την εκτέλεση κώδικα με αυξημένα προνόμια. Αυτό σήμαινε ότι ένας εισβολέας με δικαιώματα εγγραφής στον λογαριασμό αποθήκευσης θα μπορούσε να εισαγάγει κακόβουλο κώδικα, να αποκτήσει πρόσβαση σε δεδομένα και πόρους από τον χώρο εργασίας AML και να εκμεταλλευτεί τα δικαιώματα της διαχειριζόμενης ταυτότητας του AML.
Σε μια απόδειξη της ιδέας (proof-of-concept), η Orca έδειξε πώς ένας εισβολέας με βασικά δικαιώματα εγγραφής στον χώρο αποθήκευσης θα μπορούσε να αντικαταστήσει τα σενάρια κλήσης για να εισαγάγει κακόβουλο κώδικα. Αυτός ο κώδικας θα εκτελούνταν στη συνέχεια με τα δικαιώματα της υπολογιστικής παρουσίας AML, η οποία συχνά φέρει ευρείες ή εξαιρετικά προνομιακές ταυτότητες. Αυτό θα μπορούσε να επιτρέψει σε έναν εισβολέα να εξάγει μυστικά από τα Azure Key Vaults, να leo thang τα προνόμια και να αναλάβει τον ρόλο του χρήστη που δημιούργησε την παρουσία, ενδεχομένως αποκτώντας δικαιώματα «Ιδιοκτήτη» σε μια συνδρομή Azure. Το ζήτημα ήταν ιδιαίτερα ανησυχητικό επειδή το Single Sign-On (SSO) είναι ενεργοποιημένο από προεπιλογή, επιτρέποντας στις υπολογιστικές παρουσίες να κληρονομούν την πρόσβαση σε επίπεδο δημιουργού.
Η Orca ενημέρωσε αμέσως το Κέντρο Αντιμετώπισης Ασφαλείας της Microsoft (MSRC) μετά την ανακάλυψη. Η Microsoft αναγνώρισε τα ευρήματα, αλλά αρχικά δήλωσε ότι αυτή η συμπεριφορά ήταν «σκόπιμη», εξισώνοντας την πρόσβαση στον λογαριασμό αποθήκευσης με την πρόσβαση στην ίδια την υπολογιστική παρουσία AML. Παρά την αρχική αυτή στάση, η Microsoft έκανε μια αλλαγή που ουσιαστικά διορθώνει την ευπάθεια. Το AML προγραμματίζει πλέον τις εργασίες χρησιμοποιώντας ένα στιγμιότυπο του κώδικα του στοιχείου αντί να διαβάζει τον κώδικα απευθείας από τον λογαριασμό αποθήκευσης κατά το χρόνο εκτέλεσης. Αυτή η αλλαγή μετριάζει τον κίνδυνο εισαγωγής κώδικα μέσω τροποποίησης του χώρου αποθήκευσης, καθώς οι ενημερώσεις στα σενάρια δεν επηρεάζουν τις υπάρχουσες ή προγραμματισμένες εργασίες.
Επιπλέον, η Microsoft ενημέρωσε την τεκμηρίωσή της για να αποσαφηνίσει το μοντέλο ασφαλείας της και δεσμεύτηκε να επεκτείνει την καθοδήγηση σχετικά με την προέλευση του κώδικα και τη χρήση ταυτότητας. Η εταιρεία σχεδιάζει επίσης να απενεργοποιήσει το SSO από προεπιλογή σε μια μελλοντική έκδοση API, αντιμετωπίζοντας μια από τις βασικές διαδρομές leo thang που εντόπισε η Orca.
Η Orca Security τονίζει ότι ενώ η Microsoft θεωρεί αυτό το ζήτημα θέμα διαμόρφωσης, η εκμετάλλευση ήταν δυνατή υπό προεπιλεγμένες και υποστηριζόμενες ρυθμίσεις. Για την πρόληψη αυτού του ζητήματος, οι χρήστες του AML συνιστάται να εφαρμόζουν αυστηρούς ελέγχους. Ο περιορισμός της πρόσβασης εγγραφής στον λογαριασμό αποθήκευσης που είναι συνδεδεμένος με το AML είναι απαραίτητος για την αποτροπή μη εξουσιοδοτημένων αλλαγών από το να επηρεάσουν μελλοντικές εργασίες ή στοιχεία. Η εφαρμογή της αρχής της ελάχιστης παραχώρησης δικαιωμάτων και η διασφάλιση ότι οι διαχειριζόμενες ταυτότητες δεν έχουν υπερβολικά δικαιώματα είναι επίσης κρίσιμα βήματα για τον μετριασμό παρόμοιων κινδύνων.