Detectadas dos vulnerabilidades críticas en Azure

  • Cloud

Check Point acaba de informar que descubrió dos vulnerabilidades críticas en la platforma de cloud pública Azure, de Microsoft. Estos fallos permitirían a un cibercriminal tomar el control de todo el servidor de Azure y, por tanto, tomar el control de todo el código de un negocio. Una vez que facilitó los detalles a Microsoft, la firma publicó los parches de seguridad para ambas vulnerabilidades. Esto fue a finales de 2019.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Las dos vulnerabilidades críticas, de las que el especialista informa vía comunicado, podrían facilitar que un usuario de la red Azure podría haber tomado el control de todo el servidor, abriendo así una vía para poder robar y manipular códigos de negocio.

En primer lugar, los investigadores de Check Point descubrieron un fallo de seguridad en Azure Stack, que permitía a un cibercriminal obtener capturas de pantalla e información confidencial sobre los sistemas de la compañía. Azure Stack es una solución de software de tecnología cloud desarrollada por Microsoft que está diseñada para ayudar a las empresas a ofrecer servicios Azure desde su propio centro de datos. La compañía creó este servicio con el objetivo de ayudar a las empresas el proceso de adopción e implantación de tecnología de nube híbrida acorde a sus propios términos, ofreciendo al mismo tiempo la posibilidad de abordar aspectos comerciales y de carácter técnico como las regulaciones, la soberanía de los datos, la personalización y la latencia.

Al analizar esta fallo, Check Point descubrió que se podían tomar capturas de pantalla y reunir información sensible de los clientes y dispositivos que forma parte de la infraestructura de Azure. Este fallo de seguridad permitiría a un hacker obtener información sensible de cualquier negocio en el que servicio de Azure formase parte de la red de funcionamiento. Para ejecutar esta vulnerabilidad, un hacker con acceso al portal de Azure Stack tendría la oportunidad de enviar solicitudes HTTP no autenticadas que proporcionarían capturas de pantalla e información sobre los clientes y sus infraestructuras.

Además, la compañía también ha descubierto fallos en la app de Azure que permitía al atacante tomar el control del servidor y el código de negocio. Azure App Service es una "Plataforma como servicio" (PaaS) que integra los sitios web Microsoft Azure, servicios móviles y otros servicios en una única plataforma, añadiendo nuevas capacidades que permiten la integración con los sistemas locales o en la nube. Azure App Service, además, ofrece a los usuarios varias funcionalidades, como el aprovisionamiento y la implementación de aplicaciones web y móviles, la creación de aplicaciones para iOS, Android y Windows, la automatización de procesos empresariales a través de una experiencia de diseño visual y la integración con aplicaciones de "Software as a Service" (SaaS) como Salesforce, Marketo y DropBox.

Los especialistas de Check Point pudieron demostrar que un hacker podía comprometer las aplicaciones, los datos y las cuentas de los clientes al crear un usuario gratuito en Azure Cloud y ejecutar funciones maliciosas en Azure. Como consecuencia, un cibercriminal podría tomar el control de todo el servidor de Azure y, por tanto, acceder y modificar todo el código de un negocio.

Check Point informó de estos fallos de seguridad a Microsoft, que publicó los parches de seguridad para ambas vulnerabilidades a finales de 2019.