Dua Kerentanan Ini Bisa Mengambil Alih Cloud Microsoft Azure

Cyberthreat.id - Peneliti cybersecurity Check Point pada 30 Januari 2020 mengungkapkan rincian dua kerentanan yang harus ditambal (patch) di dalam layanan Microsoft Azure. Jika tidak segera ditambal, hacker yang berhasil meretas dapat menyerang bisnis yang menjalankan aplikasi web dan aplikasi seluler yang menggunakan layanan MS Azure.

Layanan Aplikasi Azure (Azure App Service) adalah layanan terintegrasi yang memungkinkan pengguna membuat aplikasi web dan aplikasi seluler untuk platform atau perangkat apa pun, dan dengan mudah mengintegrasikannya dengan solusi software as a service (SaaS), aplikasi di tempat (on premis) untuk mengotomatisasi proses bisnis.

Peneliti The Hacker News menyatakan kerentanan keamanan pertama (CVE-2019-1234) adalah masalah spoofing permintaan yang memengaruhi Azure Stack, solusi perangkat lunak Cloud computing hybrid dari Microsoft.

Jika kerentanan ini dieksploitasi memungkinkan hacker dari jarak jauh untuk mengakses secara ilegal tangkapan layar (screenshot) dan informasi sensitif dari mesin virtual mana pun yang berjalan pada infrastruktur Azure. Tidak peduli apakah mereka menggunakan mesin virtual bersama, berdedikasi, atau terisolasi.

Menurut peneliti, kelemahan ini dapat dieksploitasi melalui Microsoft Azure Stack Portal, sebuah antarmuka (interface) di mana pengguna dapat mengakses cloud yang telah mereka buat menggunakan Azure Stack.

Dengan memastikan manfaat API, para peneliti menemukan cara untuk mendapatkan nama dan ID mesin virtual, informasi hardware seperti core, total memori mesin yang ditargetkan, kemudian menggunakannya dengan permintaan HTTP lain yang tidak diautentikasi untuk mengambil tangkapan layar.

Kerentanan kedua yang dinyatakan The Hacker News yaitu (CVE-2019-1372). Adalah cacat eksekusi kode jarak jauh yang mempengaruhi Layanan Aplikasi Azure di Azure Stack, yang akan memungkinkan seorang peretas untuk mengambil kendali penuh atas seluruh server Azure dan akibatnya mengambil kendali atas suatu perusahaan 'kode bisnis.

Yang menarik adalah penyerang dapat mengeksploitasi kedua masalah dengan membuat akun pengguna gratis dengan Azure Cloud dan menjalankan fungsi jahat di atasnya atau mengirim permintaan HTTP yang tidak diautentikasi ke portal pengguna Azure Stack.

Check Point kemudian menerbitkan postingan teknis terperinci tentang cacat kedua, tetapi secara singkat, posisinya berada di DWASSVC, sebuah layanan yang bertanggung jawab untuk mengelola dan menjalankan aplikasi penyewa dan proses pekerja Internet Information Services (IIS), yang menjalankan aplikasi penyewa, berkomunikasi satu sama lain untuk tugas yang ditentukan.

Sejak Azure Stack gagal memeriksa panjang buffer sebelum menyalin memori ke sana, hacker bisa saja mengeksploitasi masalah dengan mengirim pesan yang dibuat khusus ke layanan DWASSVC, yang memungkinkannya untuk mengeksekusi kode jahat pada server sebagai NT AUTHORITY/SYSTEM tertinggi privilege.

"Jadi, bagaimana seorang penyerang dapat mengirim pesan ke DWASSVC (DWASInterop.dll)? Secara desain, ketika menjalankan fungsi C # Azure, itu berjalan dalam konteks pekerja (w3wp.exe)," kata para peneliti.

"Ini memungkinkan penyerang untuk menghitung gagang yang saat ini terbuka. Dengan begitu, dia dapat menemukan pegangan pipa yang sudah dibuka dan mengirim pesan yang dibuat secara khusus."

Peneliti Check Point Ronen Shustin, yang menemukan kedua kerentanan, bertanggung jawab melaporkan masalah tersebut ke Microsoft tahun lalu. Laporan ini mencegah hacker dari menyebabkan kerusakan parah dan kekacauan. Setelah menambal kedua masalah akhir tahun lalu, perusahaan memberi Shustin dengan 40 ribu USD (Rp 547 juta) lewat program bug bounty Azure.