Investigadores de Check Point han descubierto dos vulnerabilidades críticas en Microsoft Azure, uno de los principales proveedores de tecnología cloud del mundo. La compañía ha descubierto que un usuario de la red Azure podría haber tomado el control de todo el servidor, abriendo así una vía para poder robar y manipular códigos de negocio.
En primer lugar, los investigadores de Check Point descubrieron un fallo de seguridad en Azure Stack que permitía a un cibercriminal obtener capturas de pantalla e información confidencial sobre los sistemas de la compañía. Azure Stack es una solución de software de tecnología cloud desarrollada por Microsoft que está diseñada para ayudar a las empresas a ofrecer servicios Azure desde su propio centro de datos.
La compañía creó este servicio con el objetivo de ayudar a las empresas en el proceso de adopción e implantación de tecnología de nube híbrida acorde a sus propios términos, ofreciendo al mismo tiempo la posibilidad de abordar aspectos comerciales y de carácter técnico como las regulaciones, la soberanía de los datos, la personalización y la latencia.
Al analizar esta vulnerabilidad, Check Point descubrió que se podían tomar capturas de pantalla y reunir información sensible de los clientes y dispositivos que forman parte de la infraestructura de Azure. Este fallo de seguridad permitiría a un hacker obtener información sensible de cualquier negocio en el que el servicio de Azure formase parte de la red de funcionamiento. Para ejecutar esta vulnerabilidad, un hacker con acceso al portal de Azure Stack tendría la oportunidad de enviar solicitudes HTTP no autenticadas que proporcionarían capturas de pantalla e información sobre los clientes y sus infraestructuras.
Un atacante podría tomar el control del servidor y el código del negocio
Por otra parte, la compañía también ha descubierto fallos en la app de Azure que permitía al atacante tomar el control del servidor y el código de negocio. Azure App Service es una "Plataforma como servicio" (PaaS) que integra los sitios web Microsoft Azure, servicios móviles y otros servicios en una única plataforma, añadiendo nuevas capacidades que permiten la integración con los sistemas locales o en la nube. Azure App Service, además, ofrece a los usuarios varias funcionalidades, como el aprovisionamiento y la implementación de aplicaciones web y móviles, la creación de aplicaciones para iOS, Android y Windows, la automatización de procesos empresariales a través de una experiencia de diseño visual y la integración con aplicaciones de "Software as a Service" (SaaS) como Salesforce, Marketo y DropBox.
Los investigadores de Check Point pudieron demostrar que un hacker podía comprometer las aplicaciones, los datos y las cuentas de los clientes al crear un usuario gratuito en Azure Cloud y ejecutar funciones maliciosas en Azure. Como consecuencia, un cibercriminal podría tomar el control de todo el servidor de Azure y, por tanto, acceder y modificar todo el código de un negocio.
Para descubrir estas vulnerabilidades, los investigadores de Check Point comenzaron instalando el Kit de Desarrollo de la Pila Azul (ASDK) en sus propios servidores. Tras esto, trazaron un mapa de los lugares en los que pensaban que podrían encontrar vulnerabilidades, centrándose en Azure Stack y la nube pública de Azure, que tienen características similares. Check Point informó de estos fallos de seguridad a Microsoft, que publicó los parches de seguridad para ambas vulnerabilidades a finales de 2019.
Eusebio Nieva, director técnico de Check Point para España y Portugal, señala que “en las primeras semanas del año estamos presenciando como aplicaciones de distinta índole están sufriendo vulnerabilidades. Esto pone de manifiesto la necesidad de que las empresas tomen verdadera conciencia de la importancia de apostar por una estrategia de ciberseguridad robusta y de garantías que permita hacer frente a este tipo de fallos y, por tanto, proteger sus datos y los de sus clientes”.