Microsoft просит администраторов Azure Linux вручную исправлять ошибки OMIGOD

32
Microsoft исправляет обход TPM Surface Pro 3 с помощью общедоступного кода эксплойта

Корпорация Майкрософт выпустила дополнительное руководство по обеспечению безопасности компьютеров Azure Linux, на которых недавно были устранены критические уязвимости OMIGOD.

Четыре недостатка безопасности (позволяющие удаленное выполнение кода и повышение привилегий) были обнаружены в программном агенте Open Management Infrastructure (OMI), автоматически установленном более чем на половине экземпляров Azure.

По словам исследователей Wiz Нира Офельда и Шира Тамари, эти ошибки затрагивают тысячи клиентов Azure и миллионы конечных точек.

Root привилегии с одним пакетом

OMIGOD влияет на виртуальные машины Azure, которые используют решения для управления Linux с такими службами, как Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management или Azure Diagnostics.

Успешная эксплуатация позволяет злоумышленникам повышать привилегии и удаленно выполнять код на скомпрометированных виртуальных машинах Linux.

«Это хрестоматийная уязвимость RCE, которую вы ожидали увидеть в 90-х — очень необычно, чтобы в 2021 году появилась одна, способная обнажить миллионы конечных точек», — сказал исследователь Wiz Нир Офельд относительно ошибки CVE-2021-38647 RCE.

«С помощью одного пакета злоумышленник может стать пользователем root на удаленной машине, просто удалив заголовок аутентификации. Это очень просто.

«Его уязвимость также может быть использована злоумышленниками для получения первоначального доступа к целевой среде Azure, а затем перемещения внутри нее».

Для существующих виртуальных машин Azure требуются обновления вручную

Работая над устранением этих ошибок, 11 августа Microsoft представила фиксацию усиленной безопасности , раскрывающую все детали, которые потребуются злоумышленнику для создания эксплойта OMIGOD.

Компания выпустила исправленную версию программного агента OMI 8 сентября и назначила CVE только неделю спустя, как часть сентябрьского вторника исправлений.

Что еще хуже для затронутых клиентов, у Microsoft нет механизма для автоматического обновления уязвимых агентов на всех затронутых машинах Azure Linux.

Вместо этого компания призвала клиентов обновить уязвимое программное обеспечение вручную, чтобы защитить свои конечные точки от атак с использованием эксплойтов OMIGOD.

« Клиенты должны обновлять уязвимые расширения для своих облачных и локальных развертываний, поскольку обновления становятся доступными в соответствии с графиком, указанным в таблице ниже», — заявила группа Microsoft Security Response Center. [курсив наш]

«Новые виртуальные машины в этих регионах будут защищены от этих уязвимостей после публикации обновленных расширений».

Чтобы вручную обновить агент OMI, вы также можете использовать менеджер пакетов Linux:

Microsoft обновит уязвимые расширения управления виртуальными машинами Azure в регионах Azure в облачных развертываниях с включенным автоматическим обновлением (расширения будут прозрачно исправлены без перезапуска виртуальной машины).

Однако это означает, что клиентам вам все равно придется вручную вносить изменения в свои машины Azure Linux, если автоматические обновления расширений не включены.

«Обновления для DSC и SCOM уже доступны для устранения уязвимости удаленного выполнения (RCE)», — добавила команда MSRC.

«Пока обновления развертываются с использованием методов безопасного развертывания, клиенты могут защитить себя от уязвимости RCE, обеспечив развертывание виртуальных машин в группе сетевой безопасности (NSG) или за межсетевым экраном периметра, а также ограничить доступ к системам Linux, которые открывают порты OMI (TCP 5985, 5986 и 1207) «.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here