Redacción 20 abril, 2019
Azure presentó una nueva vulnerabilidad

Un hacker de sombrero blanco demostró hoy una debilidad sin parches conocida en el servicio de nube de Azure de Microsoft al explotarlo para tomar el control de Windows Live Tiles , una de las características clave que Microsoft incorporó en el sistema operativo Windows 8.

Introducida en Windows 8, la función de mosaicos en vivo fue diseñada para mostrar contenido y notificaciones en la pantalla de Inicio, permitiendo a los usuarios obtener información actualizada de sus aplicaciones y sitios web favoritos, sin sospechar esta debilidad de Azure.
Para facilitar que los sitios web ofrezcan su contenido como Live Tiles, Microsoft tenía una función disponible en un subdominio de un dominio separado, es decir, » notifications.buildmypinnedsite.com, «que permitía a los administradores de sitios web convertir automáticamente sus canales RSS en un formato XML especial y utilizarlos como etiquetas meta en sus sitios web.

El servicio, que Microsoft ya había cerrado, estaba alojado en su propia plataforma Azure Cloud con el subdominio configurado / vinculado a una cuenta de Azure operada por la empresa.
Sin embargo, resulta que incluso después de deshabilitar el servicio de conversión de RSS a XML, la compañía olvidó eliminar las entradas del servidor de nombres, dejando al subdominio no reclamado aun apuntando a los servidores de Azure.

Hanno Böck, quien dilucidó este problema, aprovechó esta oportunidad para explotar la debilidad y reclamó el mismo subdominio usando una cuenta recién creada en Azure.

Facilidades de explotación en Azure

Aparentemente, el control indirecto sobre el subdominio de Microsoft le permitió enviar contenido arbitrario o notificaciones en Windows Live Tiles de varias aplicaciones o sitios web que aún utilizan etiquetas meta generadas por el servicio deshabilitado.

«Las páginas web que contienen estas metaetiquetas deben eliminarlas o, si desean mantener la funcionalidad, creen los archivos XML apropiados».

Esta técnica generalmente se conoce como » toma de control de subdominio «, un importante vector de ataque que normalmente se puede encontrar en la forma en que la mayoría de los servicios en línea permiten a sus usuarios ejecutar aplicaciones web o blogs con un nombre de dominio personalizado.

Si tomamos como modelo, cuando crea una aplicación en Azure y desea que esté disponible en Internet con un nombre de dominio personalizado, la plataforma les pide a los usuarios que apunten el servidor de nombres de su dominio a Azure y luego lo reclamen dentro del panel de control de su cuenta, sin verificar la propiedad del dominio.

Dado que Microsoft Azure no tiene un mecanismo para verificar si la cuenta que reclama un dominio realmente lo posee, cualquier usuario de Azure puede reclamar cualquier dominio no reclamado (o dejado desatendido) que tenga servidores de nombres que apunten al servicio en la nube.

Recordemos que el servicio de Blogger de Google también tuvo un problema similar, que la compañía reparó hace unos años al obligar a cada propietario de blog a establecer un registro TXT único y separado para sus dominios personalizados con el fin de verificar el reclamo.

 

Por Marcelo Lozano – General Publisher IT Connect Latam