{"id":27374,"date":"2021-09-20T15:10:04","date_gmt":"2021-09-20T13:10:04","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27374"},"modified":"2021-09-20T15:10:04","modified_gmt":"2021-09-20T13:10:04","slug":"vulnerabilities-in-omi-azure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/vulnerabilities-in-omi-azure\/27374\/","title":{"rendered":"OMI-Schwachstellen bedrohen Microsoft Azure-Kunden mit virtuellen Linux-PCs"},"content":{"rendered":"

Eine recht gef\u00e4hrliche Methode von Microsoft Azure ist bekannt geworden<\/a>, und zwar wird auf Computern von Personen, die einen virtuellen Linux-PC erstellen und beim Vorgang bestimmte Azure-Dienste aktivieren, automatisch \u2013 ohne Wissen ihrer Betreiber\u00a0 \u2013 der Software-Agent Open Management Infrastructure (OMI) installiert.<\/p>\n

Eine heimliche Installation ist eigentlich schon schlimm genug, aber es kommt noch schlimmer: Der Software-Agent hat bekannte Schwachstellen und au\u00dferdem gibt es in Azure keinen automatischen Aktualisierungsmechanismus f\u00fcr diesen Agenten. Bis Microsoft eine L\u00f6sung f\u00fcr das Problem findet, m\u00fcssen Organisationen, die virtuelle Linux-Computer in Azure verwenden, vorl\u00e4ufig selbst Schutzma\u00dfnahmen ergreifen.<\/p>\n

Schwachstellen in der Open Management Infrastructure und wie Angreifern sie ausnutzen k\u00f6nnen<\/h2>\n

Am Patch-Dienstag im September hat Microsoft Sicherheitsupdates f\u00fcr vier Schwachstellen im Software-Agent Open Management Infrastructure ver\u00f6ffentlicht. Bei der Schwachstelle CVE-2021-38647<\/a> handelt es sich um eine kritische Sicherheitsl\u00fccke, die Code-Ausf\u00fchrung aus der Ferne<\/a> (engl. Remote Code Execution, RCE) erm\u00f6glicht. Die anderen drei, CVE-2021-38648<\/a>, CVE-2021-38645<\/a> und CVE-2021-38649<\/a>, k\u00f6nnen in mehrstufigen Angriffen f\u00fcr Rechteausweitung (engl. Pprivilege Escalation, LPE)<\/a> verwendet werden, wenn die Cyberverbrecher vor dem Angriff in das Netzwerk des Opfers eindringen wollen. Nach der Schwachstellenbewertung mit CVSS (Common Vulnerability Scoring System) haben diese Sicherheitsl\u00fccken einen hohen Schweregrad.<\/p>\n

Wenn Benutzer von Microsoft Azure einen virtuellen Linux-PC erstellen und bestimmte Dienste aktivieren, wird der OMI-Agent \u2013 zusammen mit allen Schwachstellen \u2013 automatisch im System implementiert. Zu den betroffenen Diensten z\u00e4hlen Azure Automation, Azure Automation-Updateverwaltung, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Manager und Azure-Diagnose \u2013 und die Liste ist h\u00f6chstwahrscheinlich sehr l\u00fcckenhaft. Der Software-Agent Open Management Infrastructure hat die h\u00f6chsten Rechte im System. Da das Sammeln von Statistiken und Synchronisierungseinstellungen zu den Aufgaben des Agenten z\u00e4hlen, kann in der Regel vom Internet \u00fcber mehrere HTTP-Ports darauf zugegriffen werden, je nachdem welche Dienste aktiviert sind.<\/p>\n

Wenn der abh\u00f6renden Ports beispielsweise 5986 ist, k\u00f6nnte ein Angreifer potenziell die Schwachstelle CVE-2021-38647 ausnutzen und sch\u00e4dlichen Code aus der Ferne ausf\u00fchren. Steht der OMI-Agent f\u00fcr Remote-Verwaltung zur Verf\u00fcgung (\u00fcber Port 5986, 5985 oder 1270), kann dieselbe Schwachstelle von Au\u00dfenstehenden ausgenutzt werden, um Zugriff auf die komplette Netzwerkumgebung in Azure zu erhalten. Laut Experten ist es sehr einfach diese Schwachstelle f\u00fcr Exploits auszunutzen.<\/p>\n

\n

This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com\/iIHNyqgew4<\/a><\/p>\n

\u2014 Ami Luttwak (@amiluttwak) September 14, 2021<\/a><\/p><\/blockquote>\n