Let’s Do the AutoWarp Again – Kritische Schwachstelle in Azures Mandantentrennung

HiSolutions Research

Neue Technologien bringen neue Angriffsvektoren mit sich, die nicht immer offensichtlich sind. Gerade im Cloud-Umfeld wird eine Vielzahl von Funktionen innerhalb kurzer Zeit eingeführt. Dabei droht gerade hier großer Schaden, wenn ein Zugriff auf andere Mandanten möglich ist.

AutoWarp ist eine solche Schwachstelle, mittels der auf die Cloud-Daten anderer Kunden von Microsoft Azure hätte zugegriffen werden können. Sicherheitsforscher von Orca Security benötigten nach eigenen Angaben lediglich zwei Stunden, um die Lücke zu entdecken. Der Fehler bestand in der Funktionsweise sogenannter Azure Automation Accounts. Diese sind zur Automatisierung von Cloud-Diensten gedacht, konnten aber auch zum Erschleichen von Rechten missbraucht werden. Microsoft hat das Problem inzwischen behoben.

https://orca.security/resources/blog/autowarp-microsoft-azure-automation-service-vulnerability/

Hier schreibt