记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

微软在 Linux 虚拟机偷偷安装Azure App,后修复严重漏洞但Linux虚拟机难以修复

2021-09-16 16:28

 聚焦源代码安全,网罗国内外最新资讯!



专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。


供应链网络攻击已破坏了日常生活并成为今年的新闻头条。防御此类攻击的最大挑战之一是,我们的数字化供应链并不透明。如果不清楚每天所使用服务和产品中隐藏的东西,谈何管理其中的风险呢?

Wiz 公司的研究团队最近发现了一系列令人警醒的漏洞,强调了开源代码的供应链风险,尤其是云计算服务用户所面临的风险。该问题的来源是一款十分普遍但所知甚少的软件代理:开放管理基础设施 (OMI),它内嵌在很多流行的 Azure 服务中。

当客户在云中设置 Linux 虚拟机并启用某些 Azure 服务时,OMI 代理就会在客户毫无察觉的情况下被自动部署。除非打补丁,则攻击者可轻易利用这四个漏洞提升至root权限并远程执行恶意代码(如加密文件以获得勒索金)。

Wiz 公司将这四个0day 命名为 “OMIGOD”,预测影响数千名 Azure 客户和数百万个端点。在所分析的一个 Azure租户小型样本中,其中超过65%的租户不不知自己正面临着这种风险。

微软在本月补丁星期二中修复了这四个漏洞(CVE-2021-38647、CVE-2021-38648、CVE-2021-38645和CVE-2021-38649)。

所有 Azure 用户应尽快应用这些补丁。


哪些人易受攻击?


微软指出,Azure 的 Linux 机器在所有 Azure 实例中占比超过一半,如果 Linux 用户使用了如下但不仅限于这些服务/工具则面临风险:

  • l Azure Automation

  • Azure Automatic Update

  • Azure Operations Management Suite (OMS)

  • Azure Configuration Management

  • Azure Diagnostics

除了 Azure 云客户外,由于OMI可独立安装在 Linux 机器上且经常用于本地,因此微软其他客户也受影响。


OMI 是什么?


OMI 是一款由微软资助和 The Open Group 协作的开源项目。从本质上来讲,它是 UNIX/Linux 系统的 Windows 管理寄出设施 (WMI)。开源的 Linux 是现代 web所选择的操作系统,在近年来主宰了 Azure。

OMI 可使用户在环境中收集数据并同步配置,广泛用于各种 Azure 服务中,包括 OMS、Azure Insights、Azure Automation 等。


Azure 的致命弱点


如用户启用了任意这些流行服务,OMI 就会被静默安装在虚拟机上,以可能存在的最高权限运行。而这些均无需获得用户的明确同意或知情。用户只要在安装过程中点击同意日志收集就在毫不知情的情况下选择了这一选项。

由于 Azure 并未公开任何关于 OMI 的文档,因此多数客户并未听说过它也并未意识到攻击面就存在自己的环境中。


攻击面


OMI 代理以最高权限作为 root 运行。任何用户使用 UNIX 套接字或在配置为允许外部访问时通过 HTTP API 即可与 OMI 通信。结果研究人员发现的这些漏洞可导致外部用户或低权限用户在目标机器上远程执行代码或提升权限。

在这四个漏洞中,三个是提权漏洞,可使攻击者在安装了 OMI 的机器上获得最高权限。攻击者常使用这类漏洞用于复杂的攻击链中。另外一个是CVSS评分为9.8的 RCE 漏洞 (CVE-2021-38647),可被攻击者用于获得目标 Azure 黄静的初始访问权限并在其中横向移动。

被暴露的 HTTPS 端口是恶意人员的圣杯。如下图所示,仅需简单的exploit,他们即可获得对新目标的访问权限,以最高权限执行命令并可能扩散到新的目标机器。



删除认证标头,成为 root


CVE-2021-38647 是一个在20世纪能见到的教科书级RCE漏洞,在2021年仍然还能出现非常不同寻常而且还能导致数百万终端暴露。通过一个数据包,攻击者只需删除认证标头就能成为远程机器的 root 用户。一切如此简单。

简单的条件语句编程错误加上未初始化认证结构,任何不具有授权标头的请求就可使权限默认为 uid=0、gid=0,而这就是root身份。

当 OMI 将 HTTPS 管理端口暴露在外部时(5986/5985/1270),就可导致远程接管。当独立安装和在 Azure Configuration Management 或 System Center Operations Manager (SCOM) 中时这就是默认配置。幸运的是,其他 Azure 服务器(如 Log Analytics)并未暴露该端口,因此在这些情况下范围仅限于本地提权。

如下图表说明了当在没有授权标头的情况下发布命令执行请求时,OMI 的异常行为:

1、认证标头中有效密码的正常流:OMICLI向远程 OMI 实例发布 HTTP 请求,传递授权标头中的登录信息。

2、传递没有认证标头的命令时的利用流:意外发生!即使没有认证标头,OMI 服务器也信任该请求,并导致完美的 RCE 出现:单个数据包即可统治所有!



获得的启发


(1)  开源软件是供应链风险吗?

社区使用且被数千名专家审计的开源软件要比专有软件安全得多。然而,如使用不但给,则毫无疑问开源软件会成为风险来源。

开源的好处之一是便于开发人员从不同项目获取代码,和其它开源以及专有软件混合。这就导致恶意开源代码可出现在数量庞大的产品和服务中,不可避免地成为“单点失败”。

由于客户不清楚所使用的服务后台中运行的是什么性质的代码,因此仍然面临风险和不知情的情况。

(2)  云中存在更多的“秘密代理”。

OMI 仅仅是预装且静默部署在云环境中的“秘密”软件代理之一。需要了解的是这些代理不仅存在于 Azure 中还存在于 AWS 和 GCP 中。希望大家能意识到在云中以最高权限运行的未知代理带来的风险,尤其是尚未更新至最新版 OMI 的 Azure 客户。研究社区应继续审计 OMI 并报告可能存在类似代理的问题。


漏洞修复


微软已发布打补丁版本 OMI 1.6.8.1。由于 Azure app 中不存在内置的自动更新机制,因此所有Azure Linux 虚拟机仍然易受攻击,除非所有用户手动更新客户端,但由于用户不知道自己系统中安装了该 app,因此手动安装很可能无法执行。





开奖啦!!!!!】
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
上次的限时赠书活动中奖名单已出炉,恭喜以下同学中奖,请未填写地址的同学在微信后台私信地址,我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快!或直接点击“原文链接”购买。


如下是本书相关讲解:


奇安信代码安全实验室主任黄永刚在2021年北京网络安全大会上也发布了实验室在软件供应链安全方面相关的研究成果。













推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
因使用五年前的老旧代码,Azure 容器险遭黑客接管,微软已修复
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全
Linus Torvalds 警告:勿用 Linux 5.12 rc1,担心供应链攻击?
微软和火眼又分别发现SolarWinds 供应链攻击的新后门
找到恶意软件包:Go 语言生态系统中的供应链攻击是怎样的?
拜登签署行政令,要求保护美国关键供应链(含信息技术)的安全
坐火车太无聊,我溜入微软 VS Code官方GitHub仓库,但没敢发动供应链攻击
SolarWinds 供应链攻击中的第四款恶意软件及其它动态
OpenWRT开源项目论坛遭未授权访问,可被用于供应链攻击
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)
FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)
FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
FireEye 红队失窃工具大揭秘之:分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)
FireEye 红队失窃工具大揭秘之:分析复现 Atlassian RCE (CVE-2019-11580)
Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难
被后爹坑:开源 JavaScript 库沦为摇钱树
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
谷歌提出治理开源软件漏洞的新框架:知悉、预防、修复
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等


原文链接:

https://therecord.media/microsoft-fixes-omigod-bugs-in-secret-azure-app/

https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution



题图:Pixabay License


奇安信代码卫士原创出品。转载请注明 “转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



知识来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247507893&idx=1&sn=cefb593c11692ee3f342d9b62b7b0a57

阅读:34037 | 评论:0 | 标签:漏洞 linux app 微软

想收藏或者和大家分享这篇好文章→复制链接地址

“微软在 Linux 虚拟机偷偷安装Azure App,后修复严重漏洞但Linux虚拟机难以修复”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云