Peneliti keamanan di Check Point telah mengidentifikasi dua kelemahan keamanan utama di Microsoft Azure (terbuka di tab baru) yang dapat dimanfaatkan oleh peretas untuk mendapatkan akses ke informasi sensitif yang disimpan di mesin yang menjalankan Azure atau untuk mengambil alih server Azure.
Cacat keamanan pertama ditemukan di Azure Stack dan jika dieksploitasi, itu akan memungkinkan peretas mendapatkan akses ke tangkapan layar dan informasi sensitif lainnya dari mesin yang menjalankan Azure.
Azure stack adalah solusi perangkat lunak komputasi awan yang dikembangkan oleh Microsoft untuk memungkinkan perusahaan memberikan layanan Azure dari pusat data mereka sendiri. Raksasa perangkat lunak ini menciptakan Azure Stack sebagai sarana untuk membantu organisasi merangkul komputasi awan hibrida dengan cara mereka sendiri sambil tetap dapat menangani pertimbangan bisnis dan teknis.
Para peneliti di Check Point dapat mengambil screenshot dan mengumpulkan informasi sensitif dari penyewa Azure dan mesin infrastruktur dengan mengeksploitasi kelemahan tersebut. Namun, agar peretas dapat memanfaatkan kelemahan tersebut, pertama-tama mereka harus mendapatkan akses ke Azure Stack Portal yang akan memungkinkan mereka mengirim permintaan HTTP yang tidak diautentikasi.
Cacat Aplikasi Azure
Cacat Aplikasi Azure ditemukan oleh Check Point (terbuka di tab baru) akan memungkinkan seorang peretas untuk mengambil kendali atas seluruh server Azure dan akibatnya kode bisnis perusahaan.
Layanan Aplikasi Azure adalah Platform sebagai Layanan yang dikelola sepenuhnya (PaaS (terbuka di tab baru)) yang mengintegrasikan situs web Microsoft Azure dan layanan lainnya ke dalam satu layanan sekaligus menambahkan kemampuan baru yang memungkinkan integrasi dengan sistem lokal atau cloud.
Peneliti Check Point dapat membuktikan bahwa seorang peretas dapat membahayakan aplikasi, data, dan akun penyewa dengan membuat pengguna gratis di Azure Cloud dan menjalankan fungsi Azure yang berbahaya.
Perusahaan keamanan tersebut mengungkapkan kelemahan tersebut kepada Microsoft dan bersama-sama keduanya bekerja sama untuk memperbaiki masalah tersebut. Tambalan lengkap untuk kedua kelemahan keamanan dirilis pada akhir tahun lalu untuk mencegahnya dieksploitasi oleh peretas.
Melalui Gizbot (terbuka di tab baru)