Vergeten Azure-opslag groot risico voor supply chain
Beveiligingsonderzoekers van het Nederlandse Eye Security hebben een ernstig lek blootgelegd in de manier waarop organisaties met hun cloudinfrastructuur omgaan. Door 'verlaten' opslaglocaties bij Microsoft Azure opnieuw te registreren, kregen zij de controle over scripts die nog dagelijks worden aangeroepen door duizenden apparaten en websites, waaronder die van de Amerikaanse inlichtingendienst NSA.
Het onderzoek, uitgevoerd door Mara Jochem en Piet Kerkhofs, legt een pijnlijk modern probleem bloot: de 'vergeten' koppeling. Veel moderne websites en applicaties laden onderdelen, zoals JavaScript of PowerShell-scripts, in vanaf externe servers. Wanneer een bedrijf stopt met het huren van die serverruimte (in dit geval Azure Blob Storage) maar de verwijzing in de broncode niet verwijdert, ontstaat er een gevaarlijk vacuüm.
15.000 namen gecontroleerd
Geïnspireerd door eerder onderzoek naar de supply chain, besloot het team van Eye Security het Microsoft-ecosysteem onder de loep te nemen. Ze identificeerden meer dan 15.000 namen van Azure Blob-opslaglocaties die nog steeds actief werden aangeroepen door live websites en applicaties.
De resultaten waren onthutsend: 621 van deze locaties bleken vrij voor registratie. Zodra de onderzoekers deze 'geest-accounts' claimden, stroomde het live verkeer direct binnen. "Er is hier geen sprake van een klassieke kwetsbaarheid in de software," leggen Jochem en Kerkhofs uit. "De blootstelling ontstaat door een blijvend vertrouwen in cloudinfrastructuur die simpelweg geen eigenaar meer heeft. Dit is een grootschalig en stil supply chain-risico."
NSA en Ghidra als slachtoffer
De impact van de ontdekking is enorm. Onder de getroffen partijen bevonden zich niet de minsten:
- Overheidsdomeinen: Websites van onder andere de NSA (National Security Agency) laadden nog steeds scripts in vanaf deze verlaten locaties.
- Microsoft Productie-apps: Diverse actieve applicaties van Microsoft zelf bleken kwetsbaar.
- Ghidra: Een veelgebruikte tool voor reverse engineering (ironisch genoeg ontwikkeld door de NSA) was eveneens doelwit van deze 'ghosted' scripts.
In de handen van kwaadwillenden had dit kunnen leiden tot grootschalige spionage of het verspreiden van malware. Omdat de scripts afkomstig lijken te zijn van een vertrouwd Azure-domein, slaan veel traditionele beveiligingsfilters geen alarm.
De onzichtbare dreiging
Het gevaar schuilt in de onzichtbaarheid. Een organisatie kan haar eigen systemen perfect op orde hebben, maar als één vergeten scriptje uit 2019 nog steeds wordt ingeladen vanaf een inmiddels opgezegd Azure-account, staat de achterdeur wagenwijd open.
De onderzoekers spreken van "Ghosts in the Cloud". Zodra een aanvaller zo'n verlaten account claimt, kan hij het originele script vervangen door een kwaadaardige variant. Elke computer die de applicatie opstart of de website bezoekt, voert vervolgens automatisch de code van de hacker uit.
Verantwoorde melding
Eye Security heeft de bevindingen inmiddels gedeeld met de betrokken partijen, waaronder het Microsoft Security Response Center (MSRC) en de beheerders van Ghidra. Het lek onderstreept de noodzaak voor een betere 'digitale hygiëne': het niet alleen opzeggen van clouddiensten, maar ook het consequent opschonen van de broncode die naar die diensten verwijst.
De volledige technische analyse vind je hier: https://research.eye.security/ghosts-in-the-cloud-hijacking-orphaned-azure-blob-storage/ of de minder technische variant op deze pagina.
Meer over Security
Over Witold Kepinski
