Een kwetsbaarheid in Microsoft Azure stelde klanten in staat om de databases van medeklanten te vinden en kopiëren.

Microsoft Azure Database for PostgreSQL Flexible Server is een veelgebruikte databasedienst. Organisaties gaan ervanuit dat Microsoft hun databases afschermt van medeklanten, ook wel bekend als ’tenant isolation’. De aanname blijkt niet altijd waar. Securityonderzoekers van Wiz vonden een manier om de databases van klanten in te zien en kopiëren.

Maak je een instance aan, dan heb je twee netwerkopties: public access en private access. Kies je voor public access, dan belandt jouw server in een van meerdere interne Azure-netwerken. Microsoft hoort de privacy en veiligheid van klanten te waarborgen door het netwerk af te schermen. Wiz misbruikte een kwetsbaarheid om de databases van medeklanten in hetzelfde netwerk te monitoren. Uiteindelijk wist het team de database van een andere account te vinden en kopiëren.

In dit geval behoorde de account tot Wiz, waardoor niemand schade opliep. Een cybercrimineel had hetzelfde proces kunnen doorlopen om volledige databases van medeklanten te stelen. Dat is, voor zover Microsoft weet, nooit gebeurd. Desalniettemin wijst de vondst op een serieus probleem. Zero-day kwetsbaarheden komen overal voor; ook bij ’s werelds grootste providers.

Private access

Azure is niet per definitie veilig. Configuraties maken het verschil. De kwetsbaarheid van Wiz heeft een aantal beperkingen. Het team vond geen manier om databases te kraken die met private access zijn geconfigureerd.

Zoals eerdergenoemd kiest elke klant bij het aanmaken van een instance tussen twee netwerkopties: private access en public access. De keuze voor private access is weggelegd voor organisaties met een Azure virtual network (VNet). Kies je voor private access, dan is de databaseserver uitsluitend toegankelijk voor systemen in hetzelfde VNet, of systemen die met een VPN verbinden. Kies je voor public access, dan is de database toegankelijk via een openbaar DNS-adres, wat een scala aan verbindingen toestaat.

Niet iedereen heeft de motivatie of capaciteit om een VNet te beheren. Organisaties zonder VNet kiezen doorgaans voor public access. De keuze is niet per se slecht, want ook public access instances zijn veilig te configureren. In dit geval lag de fout bij Microsoft. Wiz omzeilde meerdere veiligheidsmaatregelen om public access instances te vinden. Private access instances draaien in een privaat netwerk, waardoor databases per definitie onvindbaar zijn.

Opgelost

Wiz informeerde Microsoft in januari van dit jaar. Microsoft wist de kwetsbaarheid na te bootsen en beloonde Wiz met 38.000 euro. De kwetsbaarheid werd in februari gepatcht. Klanten hoeven niets te doen: de aanpassingen zijn reeds doorgevoerd.

Tip: Fortinet zorgt met Zero Trust voor veilige netwerktoegang