Azure漏洞允許攻擊者升級權限
據(jù)研究人員稱,微軟的Azure Functions云容器的一個權限升級漏洞可能會允許用戶逃逸虛擬容器。
由于觸發(fā)該漏洞需要規(guī)避一個flush-to-disk限制,Intezer研究人員將該漏洞稱為 "Royal Flush"。逃脫flush-to-disk限制就意味著要把數(shù)據(jù)移交給內(nèi)核,在那里數(shù)據(jù)對于其他進程來說是可見的,但是在系統(tǒng)重啟后可能就無法使用了。
該公司發(fā)現(xiàn),Azure Functions容器在運行時會使用privileged Docker標志,這意味著Docker主機和容器使用者都可以共享/dev目錄中的設備文件。該漏洞是由于這些設備文件具有 "他人 "的讀寫權限而引起的。
周四發(fā)布的分析報告中描述,"相對寬松的設備文件權限并不是系統(tǒng)的默認設置"。
根據(jù)Intezer的說法,由于Azure Functions環(huán)境中包含了52個不同的文件系統(tǒng)分區(qū),這些分區(qū)可以使得不同權限的用戶可見,這個特點就成了一個很大的安全問題。
研究人員解釋說:"我們懷疑這些分區(qū)是屬于其他Azure Functions客戶端的,但通過進一步的評估顯示,這些分區(qū)只是同一操作系統(tǒng)所使用的普通文件系統(tǒng),比如Docker主機的文件系統(tǒng)pmem0 "。
Intezer研究副總裁Ari Eitan告訴Theatpost:"在攻擊者以一個低權限的用戶身份來訪問受害者環(huán)境的情況下,這可能就會變得非常危險,利用這個漏洞,攻擊者可以升級權限,做一些他本不能夠做到的事情(例如從文件系統(tǒng)中讀取文件)。"
此外,雖然該漏洞不是一個Docker逃逸漏洞,他說:"如果用戶能夠升級到root權限,他們將能夠使用各種Docker逃逸技術逃逸到Docker主機內(nèi),將這兩者結合在一起使用,對于系統(tǒng)的安全來說將是一個巨大的威脅。"
Royal Flush云容器漏洞
為了查找這種設置可能會產(chǎn)生的攻擊路徑,研究人員創(chuàng)建了一個本地測試容器。他們發(fā)現(xiàn),通過使用Debugfs程序(一種用于調試Linux內(nèi)核的特殊程序,可以用來檢查和改變文件系統(tǒng)的狀態(tài)),一個無權限的用戶可以輕松穿越Azure Functions文件系統(tǒng)。而且,事實證明,非特權用戶還可以直接編輯其中的任何文件。
據(jù)分析:"一開始,我們嘗試使用zap_block命令直接編輯文件系統(tǒng)塊的內(nèi)容。在系統(tǒng)內(nèi)部,Linux內(nèi)核會將/dev/sda5設備文件進行修改處理,對/etc/passwd文件的修改會寫入到緩存中。因此,需要將系統(tǒng)的更改刷新到磁盤內(nèi),這種刷新是由Debugfs程序處理實現(xiàn)的。"
然而,研究人員找到了一種方法,能夠繞過這種對文件進行直接修改的限制。
研究人員解釋說:"首先,我們在容器的diff目錄中,通過Debugfs創(chuàng)建了一個硬鏈接,這樣更改就會影響到我們的容器中的文件了。"
他們補充說:"這個硬鏈接仍然需要root權限來編輯,所以我們還必須要使用zap_block來編輯其中的內(nèi)容。受一個名為'pagecache管理'的項目啟發(fā),我們可以使用posix_fadvise來使得內(nèi)核從緩存中刷新頁面。這會使得內(nèi)核加載我們的修改,我們最終會將它們傳播到Docker主機文件系統(tǒng)中。"
研究人員指出,Debugfs還支持寫模式,允許用戶對底層磁盤進行修改。他們補充說:"需要重點注意的是,我們通常不會向掛載的磁盤中寫入內(nèi)容,因為它可能會導致磁盤的損壞"。
研究人員解釋說,由于攻擊者可以編輯Docker主機的任意文件, 因此他們可以對/etc/ld.so.preload文件進行修改,這將允許攻擊者進行"預加載-劫持 "攻擊,通過容器的diff目錄來傳播惡意的共享文件。
根據(jù)研究人員分析:"這個文件可能會被預加載到Docker主機系統(tǒng)中的每個進程中(我們之前就記錄了使用這種技術的HiddenWasp惡意軟件),因此攻擊者這樣就能夠在Docker主機上執(zhí)行惡意代碼。"
Intezer向微軟安全響應中心(MSRC)報告了該漏洞,但微軟并沒有發(fā)布補丁。根據(jù)分析,這家計算巨頭認定該漏洞 "對Azure Functions用戶的安全沒有影響",因為研究人員使用的Docker主機實際上是一個HyperV容器,有另一個沙箱的保護。但這并不是說這個漏洞在其他的配置下就不會有危險。
Eitan說:"盡管MSRC說這個沒有什么可擔心的,但我們相信高級攻擊者可以利用這個漏洞,并且它可以幫助攻擊者進行更高級別的攻擊,這也就是我們要公布它的原因。"
研究人員還提供了漏洞驗證的代碼。
微軟對此并沒有立即進行回復評論。
Intezer建議:"通過這樣的案例我們可以發(fā)現(xiàn),漏洞有時是未知的,或者是消費者無法控制的,我們建議要對云安全采取雙層保護的方法。做好基本的防護工作,比如修復已知的漏洞和加固你的操作系統(tǒng),降低被攻擊的可能性。實施運行時的保護策略,檢測和應對漏洞的利用和其他的內(nèi)存攻擊。"
本文翻譯自:https://threatpost.com/azure-functions-privilege-escalation/165307/
