SPONSORED-POST Cybersecurity

Microsoft Azure: RCE-Sicherheitslücke "OMIGOD" in Management-Tool

Uhr
von Cornelia Lehle, Sales Director, G Data Schweiz

Eine kritische Sicherheitslücke bereitet derzeit Azure-Kunden Kopfzerbrechen. Sie ermöglicht das Ausführen von ­beliebigem Code aus der Ferne. Das Problem: Betroffene wissen meist überhaupt nicht, dass das verwundbare Programm installiert ist.

Cornelia Lehle, Sales Director, G Data Schweiz. (Source: zVg)
Cornelia Lehle, Sales Director, G Data Schweiz. (Source: zVg)

IT-Sicherheitsforschern ist aufgefallen, dass der sogenannte OMI-Agent automatisch installiert wird, wenn ein Azure-­Kunde in seiner Umgebung eine virtuelle Linux-Maschine in Betrieb nimmt. OMI steht für das quelloffene «Open Management Infrastructure»-Paket, das die Leistungsdaten virtueller Maschinen zentralisiert sammelt und für Administratoren grafisch darstellt. Dabei läuft OMI im Hintergrund – und das mit Root-Rechten, der höchsten möglichen Berechtigungsstufe in der Linux-Welt. Genau hier liegt die Schwachstelle. Die Installation dieses verwundbaren Management-Tools erfolgt ohne Wissen der Azure-Nutzer.

Fatale Fehlerkette

Die Installation eines Management-Werkzeugs ohne Wissen der Administratoren stellt in mehrfacher Hinsicht ein grosses Problem dar: In diesem Fall ermöglichen vier Sicherheitslücken Cyberkriminellen, Programmcode aus der Ferne auf ein betroffenes System zu bringen und dort auszuführen. Mithilfe dreier weiterer Schwachstellen in OMI wird der Angreifer zum «Root»-Nutzer und übernimmt damit das System. Die drei Sicherheitslücken, die den Weg zum «Root»-Nutzer freimachen, sind schon problematisch genug. Die Remote Code Execution (RCE), die die Übernahme von aussen ermöglicht, ist jedoch derart trivial, dass Experten sich fragen, wie so etwas im Jahr 2021 überhaupt möglich ist.

Das grundlegende Problem: Wie soll ein Administrator eine Sicherheitslücke in einem Programm schliessen, von deren Existenz er nicht einmal weiss? IT-Fachleute wissen, dass ein vollständiges Software-Inventar ein wichtiger Baustein für ein tragfähiges Sicherheitskonzept ist. Wenn der OMI-Agent aber ohne Wissen der verantwortlichen Person installiert wird, ist das Tool plötzlich Bestandteil der gefürchteten Schatten-IT. Gerade ein Werkzeug, das wichtige Funktionen ausfüllt, sollte definitiv nicht dazugehören.

«Offen» = «sicher»?

Der OMI-Agent ist ein quelloffenes Werkzeug von Microsoft und der Open Group. Die Nutzung ist kostenfrei und der Quellcode frei verfügbar. Quelloffene Werkzeuge haben ohne Zweifel ihre Vorzüge. Doch viele Menschen unterliegen dem Fehlschluss, dass Open-Source-Software automatisch sicherer ist, weil der Quellcode öffentlich ist. Sicherheitslücken, so die Argumentation, fallen wesentlich schneller auf und werden behoben. Diese Annahme funktioniert jedoch nur, wenn der Quellcode auch laufend von vielen Entwicklerinnen und Entwicklern speziell daraufhin untersucht wird. Das ist jedoch nicht immer der Fall. Hinzu kommt: Sicherheitslücken in Cloud-Plattformen sind besonders kritisch, weil diese mittlerweile ein nicht mehr wegzudenkender Bestandteil von Versorgungsketten sind. Wer eine Liefer- oder Versorgungskette angreift, kann grossen wirtschaftlichen Schaden anrichten und schlimmstenfalls sogar Menschenleben gefährden.

Was zu tun ist

Microsoft stellt auf einer Website Informationen zur RCE-Sicherheitslücke bereit und beschreibt, wie sich die Lücke beheben lässt. Wer eine Linux-VM unter Azure betreibt, sollte umgehend handeln. Insgesamt sind zwar nicht viele Maschinen betroffen – dennoch ist die Ausnutzung nur eine Frage der Zeit.

Webcode
DPF8_232838

Kommentare

« Mehr