Критические пробелы в облаке Microsoft делают возможным корневые атаки на виртуальные машины Linux. Однако Microsoft снимает с себя ответственность за важные обновления.

Клиенты Microsoft, использующие виртуальные машины Linux в облаке Azure компании, должны действовать как можно скорее и исправлять ряд опасных дыр в безопасности. Вопреки всем ожиданиям, Microsoft не сделает этого сама. Принимая во внимание опасность для своих клиентов, компания делает на удивление мало, чтобы защитить их в этом случае.

Атаки очень легкие

На этой неделе в рамках своего ежемесячного Patch Day Microsoft устранила проблемы с программным обеспечением Open Management Infrastructure (OMI) , которое, помимо прочего, установлено на виртуальных машинах Linux в облаке Azure, чтобы взять на себя функции управления. Проблемы с OMI можно отнести к четырем уязвимостям, которые компания Wiz обнаружила в программном обеспечении. Они позволяют пользователю, который не вошел в систему, выполнить любой вредоносный код с правами root на затронутой виртуальной машине. Все, что нужно злоумышленнику, — это доступ к виртуальной машине из публичной сети. Исследователи в области безопасности из Wiz назвали эти лазейки OMIGOD, вероятно, потому, что это именно то, о чем вы говорите, когда понимаете, насколько невероятно легко использовать лазейки.

Ситуация с безопасностью также усугубляется тем фактом, что OMI — это не программное обеспечение, с которым администраторы Linux знакомы, поскольку это специфическое явление Microsoft в среде Azure. Оставшись сам по себе, администратор виртуальной машины Linux, скорее всего, даже не узнает, что OMI используется, потому что служба незаметно устанавливается на виртуальной машине, когда несколько служб Azure для автоматических обновлений, анализа журналов или функций настройки и диагностики активирован. Служба обычно устанавливается с новыми виртуальными машинами, если эти функции также настраиваются во время установки.

Таблица ужасов

Теперь возникает вопрос, почему Microsoft не исправила проблему автоматически в рамках своих исправлений в день исправления, поскольку она также автоматически установила службу OMI, не спрашивая клиента. В конце концов, главный рекламный аргумент в пользу облачных сервисов, в том числе и в Microsoft, заключается в том, что пользователю нужно как можно меньше беспокоиться. Обычно облачные провайдеры незаметно устраняют такие уязвимости еще до того, как они станут общедоступными. Заказчику не нужно ни о чем беспокоиться, а его системы более безопасны, чем если бы он сам принимал меры и устанавливал исправления, поскольку облачный провайдер может сделать это намного быстрее и эффективнее для всех систем одновременно.

Очевидно, Microsoft видит это иначе. В своей текущей информации о пробелах OMIGOD компания рекомендует своим клиентам самостоятельно устанавливать соответствующие обновления, как только они станут доступны. Компания предоставляет четкую таблицу — Microsoft любит таблицы — с отдельными компонентами OMI, где их можно найти и когда можно ожидать исправления.

Однако Microsoft не отформатировала таблицу таким образом, чтобы веб-браузеры могли правильно ее отображать. На первый взгляд, а также на второй взгляд, колонка с исправлениями не видна. Только когда вы обнаруживаете горизонтальную полосу прокрутки в самом конце таблицы, становится ясно, что действительно важная информация скрывается справа за видимой областью таблицы. Кстати, даже сверхширокий экран тут ни к чему, проблема в макете сайта Microsoft. В конце концов, через некоторое время после того, как заметки были впервые опубликованы, заметка на полосе прокрутки была добавлена ​​в конец таблицы.

Всестороннее беззаботное облако другое

В таблице перечислены 13 конкретных проблем, связанных с уязвимостями OMIGOD. Microsoft заявляет, что исправит шесть из них автоматически. Однако администратор затронутых виртуальных машин Linux должен сам позаботиться о семи дополнительных пробелах. Таким образом, пользователи должны сами выяснить, используют ли их системы последнюю версию программного обеспечения OMI и не были ли их виртуальные машины уже атакованы и скомпрометированы через дыры. Что еще хуже, даже после того, как обновления были выпущены в День исправлений, Microsoft, по-видимому, по-прежнему установила уязвимые службы OMI на виртуальных машинах Linux, если они были настроены снова. Для такой компании, как Microsoft, работа с такой критически важной лазейкой, связанной с удаленным выполнением кода, вызывает затруднения. Клиенты, которые ожидают беззаботного облака,

Windows в опасности: новая дыра в безопасности делает ПК уязвимыми

К счастью, похоже, что не было никаких массовых атак, подобных уязвимости Microsoft Exchange в начале этого года . В безопасности компания Censys нашла всего несколько десятков уязвимых серверов во время расследования — вероятно , потому , что лишь немногие из пострадавших виртуальных машин доступны для общественности в Интернете. Тем не менее, необходимо как можно скорее исправить уязвимые системы. Эксплуатация уязвимостей OMIGOD настолько проста, а результат настолько очевиден (root-доступ), что вскоре злоумышленники найдут уязвимые системы и нацелятся на них. У Heise Security уже есть доказательство концептуального кода атаки для выявления слабых мест .