CyberArk researchers have disclosed an Azure misconfiguration that could leak sensitive access tokens, which could have given criminals access to cloud-based virtual machines and storage. Since its discovery, an update has fixed the Azure Portal misconfiguration vulnerability.
CyberArk revealed the vulnerability in March 2020, although they had found the issue in September 2019 and, as Microsoft fixed it within two weeks as part of a regular update to its Azure platform, they did not report it. Los investigadores dijeron que el error está relacionado con el análisis de URL dentro de un archivo JavaScript utilizado en el manifiesto de extensión de Azure.
Dicho manifiesto es un archivo de configuración JSON que define la configuración que deben usar las aplicaciones web. Dentro de esta matriz, los investigadores dijeron que observaron informes de telemetría enviados a un dominio no existente y que la mayoría de esas solicitudes de telemetría incluyen tokens de acceso.
Microsoft define los tokens de acceso como un objeto que describe el contexto de seguridad de un proceso o subproceso y la información en un token incluye la identidad y los privilegios de la cuenta de usuario asociada con el proceso o el hilo.
CyberArk llegó al extremo de crear dos exploits de prueba de concepto (PoC) contra la vulnerabilidad. En ambos PoC, el objetivo es obtener el control de los tokens de acceso de los usuarios.
Para hacer esto, los investigadores desarrollaron dos técnicas de manipulación de DNS: una local y otra remota. Ambos aprovechan el error cometido por Microsoft en el código de manifiesto donde la ruta “AzureHubs/Hubs” se interpreta como un dominio “urehubs”. El error provocó que Azure intentara conectarse a un nombre de host inexistente “urehubs” (eliminado la “Az” del comienzo de la URL) bajo ciertas condiciones.