微软被指忽视IT安全风险,放任可致Azure和Office 365域名滥用的漏洞存在。攻击者可创建内含恶意软件的网页,披着貌似可信 Azure/Office 365 域名的外衣进行隐秘数据渗漏。
尽管这不是什么惊天动地的威胁,但如果身为系统管理员,配置网络安全策略、代理主机和网关时最好还是多注意一下。
软件开发人员 Patrick Dwyer 认为,Azure服务订阅者很有可能注册“*.azureedge.net”或“.blob.core.windows.net”这样的域名地址,比如很有可信度的“tokyo-1-mail-server.azureedge.net”。但这些地址是可以指向任意内容的。比如,Dwyer为证明自己的观点而创建的“https://patros-issue-233.azureedge.net/index.html”和“https://patrosissue233.blob.core.windows.net/index/index.html”。
这就有点不幸了:微软鼓励公司企业将 Office 365 连接加入白名单,也就是识别并放行这些云终端的流量,而这些终端包含类mlccdnprod.azureedge.net和*.blob.core.windows.net这样的宝藏。比如https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed1-bad1-445f-b386-b919946339a7 里列出的这些。
因此,任何人都可以申请并获得属于自己的定制 xxx.blob.core.windows.net 域名,在上面托管各种内容,比如恶意软件和鱼叉式网络钓鱼页面,然后坐看企业防火墙放任受害PC通过电子邮件或其他链接连接这些内容——因为*.blob.core.windows.net 已经因 Office 365 的关系而加入了白名单。如果网络管理员放行所有 azureedge.net 域名,那又是另一条通路。
除了封堵恶意Azure子域名,用户最好还布置有其他防御措施,防止漏洞利用工具包、恶意软件、网络钓鱼页面等“坏东西”被工作站加载。
泄露
这些受信域名还可能被网络入侵者和恶意内部人利用来将被盗数据秘密渗漏出公司:防火墙安全措施极有可能认为一个看起来合法的 azureedge.net 域名跟信息渗漏毫无关系。
想优化 Office 365 流量,比如说修复Skype问题,会用到列表中的终端。优化后这些终端就可以绕过正常的代理和边界安全设备。于是,只要你决定信任这张列表,任何人都可以创建 Azure CDN 或 Azure Blob Storage 账户,再利用它在你的网络中下载任意恶意软件、漏洞利用程序和工具。
最危险的问题场景还在于漏洞利用之后,攻击者可能运用 Azure Blob Storage 账户将公司数据悄悄渗漏出去,而你毫无所觉,甚至连个日志都没有,因为该流量根本就没经过你的网络边界安全措施。
微软对此问题缄口不言。Dwyer称,去年11月报告了该问题后,微软给他发了条“谢谢分享”的留言,称会核实此问题,然后又发布声明说这不算个漏洞。于是,上周,该问题最终以“不会修复”作为结局。
微软解释称:
因为微软拥有 azureedge.net DNS域及解析该域中域名的DNS服务器,所以只有微软能在该域中创建新的域名和托管新的CDN。
但Dwyer反击道:订阅了Azure服务的任何人都可以通过门户让微软自动创建域名。难免让人担心公司企业在配置防火墙和代理服务器等网络边界设备时会给*.azureedge.net 过多的信任。
而微软还在鼓励网络边界设备供应商将这些 Azure CDN 客户的内容都当成 Office 365 流量处理。
如果你真的想补上微软还没堵上的漏洞,0patch上有针对3个Windows零日漏洞的非官方补丁可用。这3个漏洞是:可令攻击者作为普通用户搅乱系统文件的“愤怒北极熊(Angrypolarbear)”漏洞;可致非特权应用及用户读取系统上任意文件的Readfile漏洞;通过恶意.vcf联系人名片文件执行任意代码的漏洞。
0patch非官方补丁地址:
https://blog.0patch.com/2019/01/one-two-three-micropatches-for-three.html
Patrick Dwyer 在GitHub上的评论:
https://github.com/MicrosoftDocs/OfficeDocs-Enterprise/issues/233
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
