Microsoft schließt kritische Sicherheitslücke: Passwörter und Benutzernamen in Gefahr!

Microsoft hat eine kritische Sicherheitslücke geschlossen, die Angreifern ermöglicht hätte, Anmeldeinformationen aus GitHub Actions oder Azure DevOps-Protokollen zu stehlen, die mit der Azure-Befehlszeilenschnittstelle (CLI) erstellt wurden. Die Sicherheitslücke mit dem Namen CVE-2023-36052 wurde von Sicherheitsforschern von Palo Alto’s Prisma Cloud entdeckt. Sie stellten fest, dass nicht authentifizierte Angreifer, wenn sie die Sicherheitslücke erfolgreich ausnutzen, auf im Klartext geschriebene Inhalte zugreifen könnten, die von Azure CLI in Continuous Integration und Continuous Deployment (CI/CD)-Protokollen geschrieben wurden.

Microsoft erklärt, dass ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, in der Lage wäre, Klartext-Passwörter und Benutzernamen aus den Protokolldateien wiederherzustellen, die von den betroffenen CLI-Befehlen über Azure DevOps und/oder GitHub Actions veröffentlicht wurden. Um sich vor den Risiken dieser Sicherheitslücke zu schützen, müssen Kunden, die die betroffenen CLI-Befehle verwenden, ihre Azure CLI-Version auf 2.53.1 oder höher aktualisieren. Dies gilt auch für Kunden mit Protokolldateien, die durch die Verwendung dieser Befehle über Azure DevOps und/oder GitHub Actions erstellt wurden.

Microsoft gibt an, dass Kunden, die kürzlich Azure CLI-Befehle verwendet haben, über das Azure-Portal benachrichtigt wurden. In einem heute veröffentlichten Blogbeitrag des MSRC empfiehlt Microsoft allen Kunden, auf die neueste Azure CLI-Version (2.54) zu aktualisieren. Zusätzlich dazu empfiehlt Microsoft die Durchführung bestimmter Schritte, um eine versehentliche Offenlegung von Geheimnissen in CI/CD-Protokollen zu verhindern.

Um die Sicherheitsmaßnahmen zu stärken und eine versehentliche Offenlegung sensibler Informationen zu verhindern, hat Microsoft eine neue Standardkonfiguration für Azure CLI implementiert. Diese neue Einstellung beschränkt die Darstellung von Geheimnissen in der Ausgabe, die von Update-Befehlen für Dienste innerhalb der App Service-Familie generiert wird, einschließlich Web-Apps und Funktionen. Es ist jedoch wichtig zu beachten, dass diese neue Standardeinstellung nur für Kunden gilt, die auf die neueste Azure CLI-Version (2.53.1 und höher) aktualisiert haben. Frühere Versionen (2.53.0 und darunter) sind weiterhin anfällig für Ausnutzung.

Um die Anzahl der erkennbaren Schlüsselmuster in Build-Protokollen zu erhöhen und sie zu verschleiern, hat Microsoft auch die Möglichkeiten zur Schwärzung von Anmeldeinformationen in GitHub Actions und Azure Pipelines erweitert. Mit diesem Update der Schwärzungsfunktion erkennt Microsoft von ihnen ausgegebene Schlüssel, bevor sie versehentlich in öffentlich zugänglichen Protokollen auftauchen. Microsoft betont jedoch, dass die geschwärzten Muster derzeit nicht umfassend sind und es sein kann, dass zusätzliche Variablen und maskierte Daten in Ausgaben und Protokollen auftauchen, die nicht als Geheimnisse festgelegt sind. Das Unternehmen arbeitet jedoch kontinuierlich daran, diesen Schutz zu optimieren und zu erweitern, um einen robusten Schutz vor potenziellen Geheimnissen zu gewährleisten.

Schlagwörter: Sicherheitslücke + Anmeldeinformationen + Azure CLI

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 14. November 2023