Una vulnerabilidad en la plataforma cloud de Microsoft podía en teoría ser utilizada para obtener acceso como administrador a instancias de Red Hat Enterprise Linux (RHEL), como asimismo a cuentas de almacenamiento hospedadas en Azure. De paso, Microsoft perdió el control de la facturación por uso.
Diario TI 28/11/16 11:30:08
La vulnerabilidad fue detectada por un ingeniero de software identificado como Ian Duffy, mientras creaba una imagen RHEL protegida para ser utilizada en Amazon Web Services (AWS) y Azure. Durante el procedimiento instaló a las actualizaciones de software desde un repositorio RHEL propiedad de Microsoft. En su blog, Duffy explica: “se me encargó la tarea de crear una imagen de Red Hat Enterprise Linux que fuese compatible con la guía de seguridad para implementaciones técnicas definidas por el Departamento de Defensa. Esta imagen sería utilizada, por igual en Amazon Web Services y Microsoft Azure. Ambas empresas ofrecen imágenes mediante un modelo de precios de facturación según utilización.
“Para mí, lo ideal era que mi imagen personalizada fuese facturada bajo el mismo mecanismo, ya que de esa forma las máquinas virtuales podrían consumir actualizaciones de software desde un repositorio local de Red Hat Enterprise Linux propiedad de, y administrado por, Microsoft”, escribe Duffy, agregando que Amazon Web Services y Microsoft Azure utilizan la infraestructura de actualización de Red Hat para ofrecer esta funcionalidad.
Amazon Web Services y Microsoft Azure utilizan certificados SSL para autentificar el acceso a los repositorios. Sin embargo, son los mismos certificados SSL para todas las instancias. En Amazon Web Services no es suficiente tener los certificados SSL, sino es necesario haber ejecutado la instancia desde una AMI asociada a un código de facturación. “Es precisamente este código de facturación que asegura que estás pagando la prima adicional para ejecutar Red Hat Enterprise Linux”, indica Duffy, quien observa que para el caso de Azure, aún no está definido cómo Microsoft controla la facturación.
“Al momento de mi investigación, era posible copiar los certificados SSL de una instancia a otra y autenticar correctamente. Además, al duplicar un disco duro virtual de Red Hat Enterprise Linux y crear una nueva instancia a partir del nuevo disco, toda la información para facturación se perdía, aunque el acceso al repositorio continuaba disponible”, escribe Duffy en su blog.
“A pesar que la aplicación requería autenticación mediante nombre de usuario y contraseña, fue posible ejecutar su ‘backend log collector’ en un servidor de contenido especificado por mí mismo.
Cuando el servicio del colector cumplía su función, la aplicación proporcionaba URLs de archivos que contenían la información registrada y archivos de configuración de los servidores”, indica el ingeniero de software, quien pone de relieve que esta situación hacía posible, al menos potencialmente, acceder a las cuentas de almacenamiento.
“Debido a una implementación deficiente de Microsoft Azure Linux (WaLinuxAgent), también fue posible obtener las claves API de administrador, y con ello acceso a la cuenta de almacenamiento utilizado por la máquina virtual para efectos de depuración de archivos. En el momento de mi investigación, la configuración estándar de esta cuenta de almacenamiento la dirigía a una cuenta compartida por múltiples máquinas virtuales. Por lo tanto, si la cuenta de almacenamiento era utilizada por múltiples máquinas virtuales existe la posibilidad de descargar sus discos duros virtuales”, escribe el experto.
Duffy informó las vulnerabilidades a Microsoft como parte de su programa de recompensa de errores. La compañía ya ha tomado las medidas necesarias para impedir el acceso público a rhui-monitor.cloudapp.net y Red Hat Update Appliances.
Se desconoce si la vulnerabilidad fue explotada con fines malignos antes que Duffy comunicara la situación a Microsoft.
Fuente