Forscher des Microsoft Security Response Center (MSRC) und von Orca Security haben diese Woche eine kritische Schwachstelle in Microsoft Azure Cosmos DB enthüllt, die sich auf die Cosmos DB Jupyter Notebooks-Funktion auswirkt. Der Remote Code Execution (RCE)-Bug bietet einen Überblick darüber, wie Schwachstellen in der Authentifizierungsarchitektur cloudnativer und maschinell lernender Umgebungen von Angreifern ausgenutzt werden könnten.
Die vom Forschungsteam von Orca als CosMiss bezeichnete Schwachstelle beruht auf einer Fehlkonfiguration bei der Handhabung von Autorisierungsheadern, die es nicht authentifizierten Benutzern ermöglicht, Lese- und Schreibzugriff auf Azure Cosmos DB-Notebooks zu erhalten und Code einzufügen und zu überschreiben.
„Kurz gesagt: Hätte ein Angreifer Kenntnis von der ‚forwardingId‘ eines Notebooks, also der UUID des Notebook-Arbeitsbereichs, hätte er volle Berechtigungen für das Notebook, einschließlich Lese- und Schreibzugriff, und die Möglichkeit, das Dateisystem zu ändern.“ der Container, auf dem das Notebook läuft“, schrieben Lidor Ben Shitrit und Roee Sagi von Orca in einem technischer Verfall der Schwachstelle. „Durch die Änderung des Container-Dateisystems – auch bekannt als dedizierter Arbeitsbereich für temporäres Notebook-Hosting – konnten wir RCE im Notebook-Container erhalten.“
Azure Cosmos DB ist eine verteilte NoSQL-Datenbank und wurde für die Unterstützung skalierbarer, leistungsstarker Apps mit hoher Verfügbarkeit und geringer Latenz entwickelt. Zu seinen Einsatzmöglichkeiten gehören die Telemetrie und Analyse von IoT-Geräten; Echtzeit-Einzelhandelsdienste zum Ausführen von Produktkatalogen und KI-gesteuerten personalisierten Empfehlungen; und global verteilte Anwendungen wie Streaming-Dienste, Abhol- und Lieferdienste und dergleichen.
Mittlerweile ist Jupyter Notebooks eine interaktive Open-Source-Entwicklerumgebung (IDE), die von Entwicklern, Datenwissenschaftlern, Ingenieuren und Geschäftsanalysten für alles verwendet wird, von der Datenexploration und Datenbereinigung bis hin zu statistischer Modellierung, Datenvisualisierung und maschinellem Lernen. Es handelt sich um eine leistungsstarke Umgebung zum Erstellen, Ausführen und Teilen von Dokumenten mit Live-Code, Gleichungen, Visualisierungen und narrativem Text.
Orca-Forscher sagen, dass diese Funktionalität einen Fehler bei der Authentifizierung in Cosmos DB-Notebooks besonders riskant macht, da sie „von Entwicklern zum Erstellen von Code verwendet werden und oft hochsensible Informationen wie Geheimnisse und private Schlüssel im Code eingebettet enthalten“.
Der Fehler wurde im Spätsommer entdeckt, Anfang Oktober von Orca gefunden und Microsoft mitgeteilt und innerhalb von zwei Tagen behoben. Aufgrund der verteilten Architektur von Cosmos DB erforderte die Einführung des Patches keine Maßnahmen seitens der Kunden.
Nicht die erste im Kosmos gefundene Sicherheitslücke
Die integrierte Integration von Jupyter Notebooks in Azure Cosmos DB ist immer noch eine Funktion im Vorschaumodus, aber dies ist definitiv nicht der erste veröffentlichte Fehler, der darin gefunden wird. Letztes Jahr Forscher mit Wiz.io entdeckt eine Reihe von Fehlern in der Funktion, die jedem Azure-Benutzer ohne Autorisierung vollen Administratorzugriff auf die Cosmos DB-Instanzen anderer Kunden gewährte. Damals berichteten Forscher, dass große Marken wie Coca-Cola, Kohler, Rolls-Royce, Siemens und Symantec alle Datenbankschlüssel offengelegt hatten.
Das Risiko und die Auswirkungen dieses jüngsten Fehlers sind aufgrund einer Reihe von Faktoren, die MSRC in einem am Dienstag veröffentlichten Blog dargelegt hat, wohl begrenzter als der vorherige.
Dem MSRC-Blog zufolge war der ausnutzbare Fehler etwa zwei Monate lang offengelegt, nachdem ein Update in diesem Sommer in einer Backend-API dazu geführt hatte, dass Anfragen nicht ordnungsgemäß authentifiziert wurden. Die gute Nachricht ist, dass das Sicherheitsteam eine gründliche Untersuchung der Aktivitäten durchgeführt und zu diesem Zeitpunkt keine Anzeichen dafür gefunden hat, dass Angreifer die Schwachstelle ausgenutzt haben.
„Microsoft hat vom 12. August bis 6. Oktober eine Untersuchung der Protokolldaten durchgeführt und keine Brute-Force-Anfragen identifiziert, die auf böswillige Aktivitäten hinweisen würden.“ schrieb ein MSRC-Sprecher, der außerdem feststellte, dass 99.8 % der Azure Cosmos DB-Kunden noch keine Jupyter-Notebooks verwenden.
Das Risiko wird dadurch weiter gemindert, dass die im Orca-Proof-of-Concept verwendete Weiterleitungs-ID eine sehr kurze Lebensdauer hat. Notebooks werden in einem temporären Notebook-Arbeitsbereich ausgeführt, der eine maximale Lebensdauer von einer Stunde hat. Danach werden alle Daten in diesem Arbeitsbereich gelöscht.
„Die potenziellen Auswirkungen beschränken sich auf den Lese-/Schreibzugriff auf die Notebooks des Opfers während der Zeit, in der sein temporärer Notebook-Arbeitsbereich aktiv ist“, erklärte Microsoft. „Selbst wenn die Weiterleitungs-ID bekannt war, war es aufgrund der Sicherheitslücke nicht möglich, Notebooks auszuführen, Notebooks automatisch im (optionalen) verbundenen GitHub-Repository des Opfers zu speichern oder auf Daten im Azure Cosmos DB-Konto zuzugreifen.“
