Misconfigurations in Microsoft Azure and their Impact

Abstract

Ettersom skyløsninger blir mer og mer brukt, fremstår sikkerhet til å være en av smertepunktene ved løsningen. Nulldags sårbarheter og feil ved utvikling og implementering av applikasjoner og serviser er vanskelige sikkerhets risikoer og beskytte seg mot. Konfigurasjonsfeil derimot kan og burde være mulig å gjøre riktig. I denne masteroppgaven forklares grunnprinsippene ved skyløsninger. Det blir også presentert hvordan feilkonfigureringer i skyen kan føre til fatale konsekvenser. Ved bruk av verktøy tilgjengelig i Microsoft Azure og fra tredjeparter vises teknikker og metoder for å bevege seg rundt i skyløsninger samt hvordan man kan elevere rettighetene sine. Oppgaven presenterer resultater som viser direkte konsekvenser for feilkonfigurering av tjenester i Microsoft Azure.

As cloud computing becomes increasingly used, security in the cloud is presenting itself as one of the main hurdles to overcome. While zero days and development and implementation bugs are hard to protect against configuration errors is one of the elements of cloud security that should and could be done right. The thesis sets out to understand, explain and showcase how configuration changes in Microsoft Azure can impact the security of the service. Two scenarios showcasing different attack paths and techniques are presented. The results revealed in the thesis show how an attacker can gather information, exfiltrate data, and escalate their privileges as a direct outcome of configuration mistakes in Azure.