News

Kaum ein Monat vergeht, in dem keine Presseberichte von einem größeren Datenleck die Runde machen – zuletzt traf es den Mietwagenanbieter Buchbinder. Die ... (mehr)

Kritische Azure-Schwachstellen

Check Point Research hat zwei große Sicherheitslücken bei Microsoft Azure identifiziert. Die Sicherheitsforscher entdeckten, dass ein Angreifer im Azure-Netzwerk möglicherweise die Kontrolle über den gesamten Server hätte übernehmen können, was einen Weg für Diebstahl und Manipulation wichtiger Unternehmensdaten eröffnete.Die erste Sicherheitslücke wurde im Azure Stack gefunden, die zweite Sicherheitslücke im Azure App Service. Die Azure-Stack-Schwachstelle hätte es einem Hacker ermöglicht, Screenshots und sensible Informationen von Rechnern zu erlangen, die Azure einsetzen. Der Azure-App-Fehler dagegen hätte es einem Hacker ermöglicht, die Kontrolle über den gesamten Azure-Server zu übernehmen. Um diese Schwachstelle zu nutzen, würde ein Hacker sich zunächst Zugang zum Azure-Stack-Portal verschaffen. Er könnte dann unauthentifizierte HTTP-Anfragen senden, die Screenshots und Informationen über Mieter und Infrastrukturmaschinen liefern.Die Forscher von Check Point konnten nachweisen, dass ein Hacker Anwendungen, Daten und Konten von Unternehmen kompromittieren konnte, wenn er zuerst einen kostenlosen Benutzer in der Azure Cloud erstellt und betrügerischen Code darüber ausführt. So könnte der Angreifer möglicherweise die Kontrolle über den gesamten Azure-Server übernehmen. Die Forscher von Check Point begannen mit der Installation des Azure Stack Development Kit (ASDK) auf ihren eigenen Servern. Nach dem Ausrollen von ASDK kartierten die Check-Point-Forscher die Orte, wo sie glaubten, Schwachstellen zu finden. Da Azure Stack ähnliche Merkmale wie die Public Cloud von Azure aufweist, konzentrierten sich die Check-Point-Forscher auf diese Vektoren.Check Point hat Microsoft seine Ergebnisse verantwortungsbewusst mitgeteilt. Die erste Sicherheitslücke wurde von Check Point am 19. Januar 2019 offengelegt, weswegen Microsoft entsprechend

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

News

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020