Check Point descubre vulnerabilidades críticas en Microsoft Azure

6 febrero, 2020
413 Visualizaciones

Estos fallos de seguridad permitirían a un cibercriminal tomar el control de todo el servidor de Azure y, por tanto, tomar el control de todo el código de un negocio

Investigadores de Check Point® Software Technologies Ltd han descubierto dos vulnerabilidades críticas en Microsoft Azure, uno de los principales proveedores de tecnología cloud del mundo. La compañía ha descubierto que un usuario de la red Azure podría haber tomado el control de todo el servidor, abriendo así una vía para poder robar y manipular códigos de negocio. 

¿Cuáles son las vulnerabilidades encontradas en Microsoft Azure? 

En primer lugar, los investigadores de Check Point descubrieron un fallo de seguridad en Azure Stack que permitía a un cibercriminal obtener capturas de pantalla e información confidencial sobre los sistemas de la compañía. Azure Stack es una solución de software de tecnología cloud desarrollada por Microsoft que está diseñada para ayudar a las empresas a ofrecer servicios Azure desde su propio centro de datos. La compañía creó este servicio con el objetivo de ayudar a las empresas el proceso de adopción e implantación de tecnología de nube híbrida acorde a sus propios términos, ofreciendo al mismo tiempo la posibilidad de abordar aspectos comerciales y de carácter técnico como las regulaciones, la soberanía de los datos, la personalización y la latencia.

Al analizar esta vulnerabilidad, Check Point descubrió que se podían tomar capturas de pantalla y reunir información sensible de los clientes y dispositivos que forma parte de la infraestructura de Azure. Este fallo de seguridad permitiría a un hacker obtener información sensible de cualquier negocio en el que servicio de Azure formase parte de la red de funcionamiento. Para ejecutar esta vulnerabilidad, un hacker con acceso al portal de Azure Stack tendría la oportunidad de enviar solicitudes HTTP no autenticadas que proporcionarían capturas de pantalla e información sobre los clientes y sus infraestructuras.

Por otra parte, la compañía también ha descubierto fallos en la app de Azure que permitía al atacante tomar el control del servidor y el código de negocio. Azure App Service es una «Plataforma como servicio» (PaaS) que integra los sitios web Microsoft Azure, servicios móviles y otros servicios en una única plataforma, añadiendo nuevas capacidades que permiten la integración con los sistemas locales o en la nube. Azure App Service, además, ofrece a los usuarios varias funcionalidades, como el aprovisionamiento y la implementación de aplicaciones web y móviles, la creación de aplicaciones para iOS, Android y Windows, la automatización de procesos empresariales a través de una experiencia de diseño visual y la integración con aplicaciones de «Software as a Service» (SaaS) como Salesforce, Marketo y DropBox.

Los investigadores de Check Point pudieron demostrar que un hacker podía comprometer las aplicaciones, los datos y las cuentas de los clientes al crear un usuario gratuito en Azure Cloud y ejecutar funciones maliciosas en Azure. Como consecuencia, un cibercriminal podría tomar el control de todo el servidor de Azure y, por tanto, acceder y modificar todo el código de un negocio. 

Para descubrir estas vulnerabilidades, los investigadores de Check Point comenzaron instalando el Kit de Desarrollo de la Pila Azul (ASDK) en sus propios servidores. Tras esto, trazaron un mapa de los lugares en los que pensaban que podrían encontrar vulnerabilidades, centrándose en Azure Stack y la nube pública de Azure, que tienen características similares. Check Point informó de estos fallos de seguridad a Microsoft, que publicó los parches de seguridad para ambas vulnerabilidades a finales de 2019.

Eusebio Nieva, director técnico de Check Point para España y Portugal, señala que “en las primeras semanas del año estamos presenciando como aplicaciones de distinta índole están sufriendo vulnerabilidades. Esto pone de manifiesto la necesidad de que las empresas tomen verdadera conciencia de la importancia de apostar por una estrategia de ciberseguridad robusta y de garantías que permita hacer frente a este tipo de fallos y, por tanto, proteger sus datos y los de sus clientes”.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Las amistades peligrosas: ¿Sigue siendo el móvil tu amigo?
Cyber Expertos
18 compartido2,452 visualizaciones
Cyber Expertos
18 compartido2,452 visualizaciones

Las amistades peligrosas: ¿Sigue siendo el móvil tu amigo?

Redacción - 16 abril, 2019

Luis del Ser, Cofundador de Movilok Los servicios, los negocios y las organizaciones, el ocio, la comercialización, los procesos, las…

Computación cuántica: Los retos de la criptografía
Actualidad
29 compartido2,973 visualizaciones
Actualidad
29 compartido2,973 visualizaciones

Computación cuántica: Los retos de la criptografía

Vicente Ramírez - 12 julio, 2019

Esta semana tuvo lugar la jornada que IBM celebró sobre Mitos y Realidades de la computación cuántica donde los expertos…

El phishing financiero creció un 9,5% en el último trimestre de 2019
Actualidad
6 compartido1,329 visualizaciones
Actualidad
6 compartido1,329 visualizaciones

El phishing financiero creció un 9,5% en el último trimestre de 2019

Aina Pou Rodríguez - 13 febrero, 2020

El último trimestre del año es un momento muy rentable para los ciberdelincuentes, que aprovechan las prisas de los usuarios…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.