Sicherheitslücken in der Azure-Cloud

- Falk Borgmann

Microsoft Azure liefert gleich zwei Beweise dafür, dass ein gesundes Misstrauen in die Cloud-Services der Hyperscaler berechtigt ist.

"Packen sie alles in die Cloud! Dort sind ihre Daten viel sicherer als in einer eigenen IT-Infrastruktur." Mit solcherart vollmundigem Versprechen locken die Vertriebsmitarbeiter der großen US-Konzerne ihre Kunden. Dass Cloudangebote tückische IT-Wunderwerke sein können, hat Microsoft unfreiwillig öffentlich unter Beweis gestellt – und das nicht nur ein Mal.

Im August 2021 ging eine Meldung durch die IT-Fachpresse, die bisher ein erstaunlich geringes Echo auf dem Markt hervorrief. Gegenstand der Veröffentlichung war eine Sicherheitslücke von Microsoft Azure, die es ermöglichte, einem Zugriffsschlüssel mit Lese-Schreib-Berechtigung vieler Cosmos-DB-Instanzen auf der ganzen Welt habhaft zu werden. Wer sich darunter nichts vorstellen kann: Die Lücke hat einen Vollzugriff auf Kunden-Datenbanken ermöglicht.

Einen Root Key auf der gleichen Infrastruktur, also der eigentlichen Datenbankinstanz, zugreifbar zu machen, stellt einen der massivsten Sicherheitsverstöße dar, der überhaupt vorstellbar ist. Das hat mit professioneller IT absolut nichts zu tun und wäre vielleicht verzeihlich, wenn das einem Schreinermeister im verstaubten Serverschrank seiner Holzwerkstatt passiert wäre. Aber wir sprechen hier von einem Unternehmen, dass unseren Politikern ständig ins Ohr säuselt, doch endlich auf breiter Fläche für die Nutzung seiner angeblich absolut vertrauenswürdigen Angebote zu sorgen.

Die Offenlegung der Zugriffsschlüssel lässt bei IT-Experten und Datenschutzverantwortlichen bereits sämtliche Alarmglocken in höchster Lautstärke schrillen. Offenbar dachten sich die Cloud-Experten von Microsoft, doppelt hält besser und haben noch einen draufgelegt.

Frage: Ist es schlimm, wenn auf einer Kunden-Linux-VM in der Microsoft-Azure-Cloud der Anbieter (also Microsoft Azure) automatisch und ungefragt einen Software-Agent installiert? Nun, dafür mag es ja noch Gründe geben, aber als Kunde sollte man schon erwarten können, diesen Umstand wenigstens transparent gemacht zu bekommen. Richtig unheilvoll wird es aber erst, wenn jemand auf die Idee kommt, diesen Software-Agent (sofern extern exponiert) durch einen simplen HTTPS-Call zu erreichen und dabei weder einen User noch ein Passwort mitgibt. Warum? Weil sich ein Angreifer bei Azure auf diese Weise auch gleichzeitig noch Root-Rechte auf dem betroffenen Server erschleichen konnte.

Man könnte auf den Gedanken kommen, das seien völlig überzogene Szenarien von irgendwelchen IT-Insidern, die einem amerikanischen Cloud-Anbieter den Erfolg nicht gönnen. Das dem so wäre, dürften sich vermutlich viele CIOs und IT-Manager wünschen, die noch bis vor Kurzem vorbehaltlos in die Microsoft-Azure-Cloud galoppiert sind. Leider sind diese Horrorszenarien keine Literatur, sondern Realität. Bedenkenloses Vertrauen ist hier völlig unangebracht und Datensicherheit ist keine Floskel, sondern ein entscheidender Unternehmenswert.

Verantwortliche, die nach diesen beiden scheunentorgroßen Sicherheitslücken immer noch Augen und Ohren vor der Realität verschließen, kann wirklich nicht geholfen werden. Microsoft Azure hat eindrucksvolle Belege geliefert, dass keinem Cloud-Service automatisch vertraut werden kann. Unabhängig davon, ob andere Cloud-Anbieter aus den USA es mit kundenorientierter Transparenz oder dem Schutz der ihnen anvertrauten Daten genauer nehmen als Microsoft, sehe ich mich in meinem seit Jahren vertretenen Ansatz, nicht blind in Abhängigkeitsfallen zu laufen , einmal mehr bestätigt. Die Zukunft einer leistungsfähigen IT hängt von ihrer Flexibilität und ihrer Sicherheit ab. Daran ändert auch die Cloud nichts.

Vermutlich überlegen nun einige Kunden, möglichst rasch den Provider zu wechseln. Sie werden aber feststellen, dass man seine Cloud-Dienstleisterstrategie nicht kurzfristig ändern kann. Das blüht Unternehmen vor allem dann, wenn man unreflektiert auf proprietäre Services setzt – wie sie von den Hyperscalern angeboten werden – und Flexibilität bei der IT-Lösungsarchitektur hintanstellt.

Eigentlich muss man Microsoft Azure dafür danken, mit diesen unglaublichen Löchern im Sicherheitsnetz alle Entscheider noch einmal auf die Risiken und Lücken von IT-Systemen im Allgemeinen und von Cloudangeboten im Speziellen aufmerksam gemacht zu haben. Die Cloud ist eben nicht uneingeschränkt der Stein der Weisen und Verantwortung für die eigenen Daten ist nicht delegierbar. Es gibt keine „Responsibility as a Service" – auch und gerade nicht bei den „Großen".

Mehr dazu:

https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases

https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution

Share