Notebook mit einem Logo von Microsoft Azure, das von FabriXss betroffen ist
Notebook mit einem Logo von Microsoft Azure, das von FabriXss betroffen ist
Bildquelle: monticello, Lizenz

FabriXss: Schwachstelle wird Azure Service Fabric zum Verhängnis

Laut Microsoft sind nur ältere Versionen des Azure Service Fabric Explorers durch FabriXss-Exploits angreifbar. Wie immer heißt es: Updaten!

Durch eine in Microsofts Azure Service Fabric Explorer (SFX) aufgedeckte Sicherheitslücke mit dem Namen FabriXss können sich Angreifer potenziell Adminrechte verschaffen. Dadurch ist es ihnen möglich, ganze Service-Fabric-Cluster zu übernehmen. Laut Microsoft sind nur ältere SFX-Versionen betroffen. Der Konzern rät daher zum Upgrade.

Sicherheitslücke verschafft Angreifern Adminrechte in Azure Service Fabric-Clustern

Wie BleepingComputer berichtet, können sich Angreifer durch eine Sicherheitslücke in Microsofts Azure Service Fabric Explorer administrative Rechte verschaffen. Sicherheitsforscher von Orca Security entdeckten diese SFX-Spoofing-Schwachstelle (CVE-2022-35829) mit dem Namen FabriXss. Cyberkriminelle sollen dadurch potenziell ganze Service-Fabric-Cluster übernehmen können.

Als Plattform für geschäftskritische Anwendungen beheimatet die Azure Service Fabric mehr als eine Million Applikationen. Darunter befinden sich mitunter zahlreiche weitverbreitete Microsoft-Produkte wie Microsoft Intune, Dynamics 365, Skype for Business, Cortana, Microsoft Power BI sowie mehrere Azure-Kerndienste. Der von FabriXss betroffene Service Fabric Explorer hingegen ist ein Open-Source-Tool. Dieses ermöglicht Administratoren mitunter die Verwaltung und Überprüfung ihrer Cloud-Anwendungen in Service-Fabric-Clustern.

„Wir haben festgestellt, dass ein Benutzer vom Typ Deployer mit einer einzigen Berechtigung zum ‚Erstellen neuer Anwendungen‘ über das Dashboard einen bösartigen Anwendungsnamen erstellen und die Administratorrechte zur Durchführung verschiedener Aufrufe und Aktionen missbrauchen kann. Dazu gehört auch das Zurücksetzen eines Clusterknotens, wodurch alle benutzerdefinierten Einstellungen wie Kennwörter und Sicherheitskonfigurationen gelöscht werden, sodass ein Angreifer neue Kennwörter erstellen und volle Administratorrechte erhalten kann.“

Orca Security

Nur ältere SFX-Versionen von FabriXss betroffen

Das Sicherheitsunternehmen meldete die Schwachstelle bereits am 11. August an Microsoft. Am 11. Oktober stellte der Softwaregigant schließlich ein Update bereit, um die Sicherheitslücke zu schließen. Wie der Konzern mitteilte, sind nur ältere Service Fabric Explorer (SFXv1) durch FabriXss-Exploits angreifbar, nicht jedoch aktuelle Standard-SFX-Webclients (SFXv2). Außerdem setze das Problem voraus, „dass ein Angreifer bereits über Codebereitstellungs- und -ausführungsrechte im Service-Fabric-Cluster“ verfüge. Und das Ziel müsse obendrein noch den anfälligen SFXv1-Webclient verwenden.

Und auch wenn Microsoft nach eigenen Angaben bisher keine Hinweise für einen Missbrauch der Sicherheitslücke gefunden hat, rät der Konzern allen Service-Fabric-Kunden nur die neueste SFX-Version zu verwenden. Die Option, SFXv1 zu nutzen und von einer neueren Version aus ein Downgrade dorthin durchzuführen, wolle der Softwaregigant durch ein zukünftiges Update vollständig unterbinden.

Wer sich für ein Proof of Concept des FabriXss-Exploits sowie technische Details zu der Schwachstelle interessiert, findet im Blogbeitrag von Orca Security weitere Informationen. Nahezu zeitgleich mit der Veröffentlichung dieser Sicherheitslücke ist auch noch ein Datenleck durch Fehlkonfiguration eines Azure Blob Storage von Microsoft bekannt geworden. Infolgedessen waren zahlreiche brisante Daten von Kunden des Konzerns öffentlich über das Internet abrufbar. Der Redmonder Konzern wird offenbar immer besser darin, Pannen regelrecht anzuziehen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.