OMIGOD: Microsoft empfiehlt Nutzer-Updates für Azure-Lücke

In einem aktuellen Blogeintrag warnt das Microsoft Security Response Center (MSRC) Kunden des Cloud-Dienstes Azure vor teils gefährlichen und leicht ausnutzbaren Sicherheitslücken und fordert zu Updates auf. Das brisante daran ist jedoch, dass Microsoft die Lücken offenbar selbst zu verantworten hat, aber die Updates zunächst nicht direkt selbst an alle betroffenen Kunden ausrollt.

Konkret betroffen ist der Dienst Open Management Infrastructure (OMI). Dabei handelt es sich um eine Web-basierte Management-Lösung für Azure-Kunden, die Cloud-Anbieter Microsoft in Linux- und Unix-VMs unterbringt, falls die Kunden bestimmte weitere Cloud-Dienste aktivieren. Zur Nutzung von OMI fügt Azure einen eigenen OMI-Agent in die von Kunden genutzten VM-Abbilder ein.

Ausgenutzt werden kann eine der Lücken (CVE-2021-38647) zum Ausführen von Code (RCE), wofür keine Authentifizierung notwendig ist. Drei weitere Lücken (CVE-2021-38645, CVE-2021-38648, CVE-2021-38649) eignen sich dazu, die Rechte auszuweiten, um etwa Root-Rechte zu erlangen. Das auf Cloud-Security spezialisierte Unternehmen Wiz bezeichnet die Lücken mit dem Namen OMIGOD.

Zwar stellt Microsoft inzwischen ein Update für die RCE-Lücke bereit und empfiehlt einige Sicherheitsvorkehrungen, damit sie nicht erfolgreich ausgenutzt werden kann. Bisher müssen diese Updates aber noch manuell von den Kunden selbst eingespielt werden, obwohl ja eigentlich Microsoft für den OMI-Agent verantwortlich ist.

Ebenso wird das Update bisher wohl nur schrittweise ausgerollt und soll je nach einzelner Komponente erst im Laufe des kommenden Wochenendes global verfügbar sein. Details zur Update-Verfügbarkeit sowie Hinweise zum Einspielen der Aktualisierungen liefert der Blogeintrag des MSRC.