Azure雲連線放入白名單可以給Office 365提速?
微軟被指忽視IT安全風險,放任可致Azure和Office 365域名濫用的漏洞存在。攻擊者可建立內含惡意軟體的網頁,披著貌似可信 Azure/Office 365 域名的外衣進行隱祕資料滲漏。
儘管這不是什麼驚天動地的威脅,但如果身為系統管理員,配置網路安全策略、代理主機和閘道器時最好還是多注意一下。
軟體開發人員 Patrick Dwyer 認為,Azure服務訂閱者很有可能註冊“*.azureedge.net”或“.blob.core.windows.net”這樣的域名地址,比如很有可信度的“tokyo-1-mail-server.azureedge.net”。但這些地址是可以指向任意內容的。比如,Dwyer為證明自己的觀點而建立的“https://patros-issue-233.azureedge.net/index.html”和“https://patrosissue233.blob.core.windows.net/index/index.html”。
這就有點不幸了:微軟鼓勵公司企業將 Office 365 連線加入白名單,也就是識別並放行這些雲終端的流量,而這些終端包含類mlccdnprod.azureedge.net和*.blob.core.windows.net這樣的寶藏。比如https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed1-bad1-445f-b386-b919946339a7 裡列出的這些。
因此,任何人都可以申請並獲得屬於自己的定製 xxx.blob.core.windows.net 域名,在上面託管各種內容,比如惡意軟體和魚叉式網路釣魚頁面,然後坐看企業防火牆放任受害PC通過電子郵件或其他連結連線這些內容——因為*.blob.core.windows.net 已經因 Office 365 的關係而加入了白名單。如果網路管理員放行所有 azureedge.net 域名,那又是另一條通路。
除了封堵惡意Azure子域名,使用者最好還佈置有其他防禦措施,防止漏洞利用工具包、惡意軟體、網路釣魚頁面等“壞東西”被工作站載入。
洩露
這些受信域名還可能被網路入侵者和惡意內部人利用來將被盜資料祕密滲漏出公司:防火牆安全措施極有可能認為一個看起來合法的 azureedge.net 域名跟資訊滲漏毫無關係。
想優化 Office 365 流量,比如說修復Skype問題,會用到列表中的終端。優化後這些終端就可以繞過正常的代理和邊界安全裝置。於是,只要你決定信任這張列表,任何人都可以建立 Azure CDN 或 Azure Blob Storage 賬戶,再利用它在你的網路中下載任意惡意軟體、漏洞利用程式和工具。
最危險的問題場景還在於漏洞利用之後,攻擊者可能運用 Azure Blob Storage 賬戶將公司資料悄悄滲漏出去,而你毫無所覺,甚至連個日誌都沒有,因為該流量根本就沒經過你的網路邊界安全措施。
微軟對此問題緘口不言。Dwyer稱,去年11月報告了該問題後,微軟給他發了條“謝謝分享”的留言,稱會核實此問題,然後又釋出宣告說這不算個漏洞。於是,上週,該問題最終以“不會修復”作為結局。
微軟解釋稱:
因為微軟擁有 azureedge.net DNS域及解析該域中域名的DNS伺服器,所以只有微軟能在該域中建立新的域名和託管新的CDN。
但Dwyer反擊道:訂閱了Azure服務的任何人都可以通過門戶讓微軟自動建立域名。難免讓人擔心公司企業在配置防火牆和代理伺服器等網路邊界裝置時會給*.azureedge.net 過多的信任。
而微軟還在鼓勵網路邊界裝置供應商將這些 Azure CDN 客戶的內容都當成 Office 365 流量處理。
如果你真的想補上微軟還沒堵上的漏洞,0patch上有針對3個Windows零日漏洞的非官方補丁可用。這3個漏洞是:可令攻擊者作為普通使用者攪亂系統檔案的“憤怒北極熊(Angrypolarbear)”漏洞;可致非特權應用及使用者讀取系統上任意檔案的Readfile漏洞;通過惡意.vcf聯絡人名片檔案執行任意程式碼的漏洞。
0patch非官方補丁地址:
https://blog.0patch.com/2019/01/one-two-three-micropatches-for-three.html
Patrick Dwyer 在GitHub上的評論:
https://github.com/MicrosoftDocs/OfficeDocs-Enterprise/issues/233
宣告:本文來自安全牛,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。