
Die Ausnutzung der Schwachstellen im IoT-/OT-Sicherheitstool ermöglicht Remote Code Execution und die vollständige Übernahme von Systemen
Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben eine Reihe kritischer Schwachstellen in Microsoft Azure Defender for IoT entdeckt, die Cloud- und On-Premise-Kunden betreffen. Nicht authentifizierte Angreifer können Geräte, die durch Microsoft Azure Defender for IoT geschützt sind, aus der Ferne kompromittieren, indem sie Schwachstellen im Azure-Mechanismus zur Passwortwiederherstellung ausnutzen.
Die Erkenntnisse der Forscher wurden proaktiv an Microsoft gemeldet und die Schwachstellen werden unter den Namen CVE-2021-42310, CVE-2021-42312, CVE-2021-37222, CVE-2021-42313 und CVE-2021-42311 geführt. Die Sicherheitslücken werden allesamt als kritisch eingestuft, einige davon mit einem CVSS-Score von 10,0 – der höchstmögliche Wert, der eine besonders schwerwiegende Gefährdung kennzeichnet. Microsoft hat Sicherheitsupdates veröffentlicht, um diese kritischen Schwachstellen zu beheben, und Benutzern wird dringlich empfohlen, sofort Maßnahmen zu ergreifen.
Fernzugriff und Systemübernahme mittels Password Recovery und SQL Injection
Microsoft Defender for IoT ist eine agentenlose Sicherheitslösung auf Netzwerkebene für die kontinuierliche Erkennung von IoT/OT-Assets, Schwachstellenmanagement und Bedrohungen, die keine Änderungen an bestehenden Umgebungen erfordert. Die Lösung kann vollständig vor Ort oder in Azure-verbundenen Umgebungen eingesetzt werden.
Die Sicherheitsforscher von SentinelLabs fanden heraus, dass Schwachstellen im Mechanismus zum Zurücksetzen von Passwörtern von Angreifern missbraucht werden können, um sich unbefugten Zugang zu verschaffen. Außerdem können Angreifer aufgrund mehrerer SQL-Injection-Schwachstellen in Defender for IoT ohne Authentifizierung Zugriff erhalten. Nicht gepatchte Systeme, auf denen die Anwendung ausgeführt wird, sind betroffen und angreifbar. Da das Sicherheitsprodukt viele Konfigurationen, wie z.B. RTOS, enthält, die teils nicht getestet wurden, könnten die Benutzer dieser Systeme ebenfalls potenziell betroffen sein.
Ein erfolgreicher Angriff kann zu einer vollständigen Kompromittierung des Netzwerks führen, da Azure Defender for IoT so konfiguriert ist, dass es einen Terminal Access Point für den Netzwerkverkehr hat. Der Zugang zu sensiblen Informationen im Netzwerk könnte eine Reihe von ausgeklügelten Angriffsszenarien eröffnen, die nur schwer oder gar nicht zu erkennen sind. Die Ergebnisse dieser Untersuchung werfen ernste Fragen über die Sicherheit von Sicherheitsprodukten selbst und ihre Gesamtauswirkung auf die Sicherheitslage anfälliger Sektoren auf.
Disclosure und Gegenmaßnahmen
Am 21. Juni 2021 haben die Forscher von SentinelLabs Kontakt mit dem Microsoft Security Response Center aufgenommen und den Hersteller über die Existenz der Sicherheitslücken in Kenntnis gesetzt. Der betroffene Code und ein Proof-of-Concept-Video wurden auf Anfrage am 1. Juli mit Microsoft geteilt. Am 14. Dezember wurde schließlich ein Update-Patch und ein Advisory von Microsoft veröffentlicht, das die Fehler beschreibt und Maßnahmen zur Behebung auflistet.
Zum jetzigen Zeitpunkt hat SentinelOne keine Hinweise auf erfolgreiche Missbrauchsfälle der Schwachstellen durch Cyberkriminelle entdeckt. Dennoch lautet die Empfehlung der Experten, alle privilegierten Zugangsdaten für die Plattform zu widerrufen, bevor die Cloud-Plattformen gepatcht wurden, und die Zugangsprotokolle auf Unregelmäßigkeiten zu überprüfen.
Weitere technische Details zur Sicherheitslücken sowie Informationen zur Behebung des Problems finden Sie im vollständigen Bericht von SentinelLabs: https://s1.ai/azure-iot
Fachartikel

ETH-Forschende entdecken neue Sicherheitslücke in Intel-Prozessoren

Sicherheitskontrollen im Wandel: Warum kontinuierliche Optimierung zur proaktiven Abwehr und einem stabilen Sicherheitsmanagement gehört

Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich

Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife

Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal
Studien

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper

TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor

Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen

Wie die Datenverwaltung Wachstum und Compliance fördert

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Hamsterrad-Rebell

Insider – die verdrängte Gefahr

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
