OMIGOD: Microsoft empfiehlt Nutzer-Updates für Azure-Lücke

Ein von Microsoft in Azure-VMs untergebrachter Dienst enthält eine kritische Sicherheitslücke. Updates werden aber nicht direkt selbst ausgespielt.

Artikel veröffentlicht am ,
Von den OMI-Lücken sind vor allem Linux-VMs betroffen.
Von den OMI-Lücken sind vor allem Linux-VMs betroffen. (Bild: Pixabay)

In einem aktuellen Blogeintrag warnt das Microsoft Security Response Center (MSRC) Kunden des Cloud-Dienstes Azure vor teils gefährlichen und leicht ausnutzbaren Sicherheitslücken und fordert zu Updates auf. Das brisante daran ist jedoch, dass Microsoft die Lücken offenbar selbst zu verantworten hat, aber die Updates zunächst nicht direkt selbst an alle betroffenen Kunden ausrollt.

Konkret betroffen ist der Dienst Open Management Infrastructure (OMI). Dabei handelt es sich um eine Web-basierte Management-Lösung für Azure-Kunden, die Cloud-Anbieter Microsoft in Linux- und Unix-VMs unterbringt, falls die Kunden bestimmte weitere Cloud-Dienste aktivieren. Zur Nutzung von OMI fügt Azure einen eigenen OMI-Agent in die von Kunden genutzten VM-Abbilder ein.

Ausgenutzt werden kann eine der Lücken (CVE-2021-38647) zum Ausführen von Code (RCE), wofür keine Authentifizierung notwendig ist. Drei weitere Lücken (CVE-2021-38645, CVE-2021-38648, CVE-2021-38649) eignen sich dazu, die Rechte auszuweiten, um etwa Root-Rechte zu erlangen. Das auf Cloud-Security spezialisierte Unternehmen Wiz bezeichnet die Lücken mit dem Namen OMIGOD.

Zwar stellt Microsoft inzwischen ein Update für die RCE-Lücke bereit und empfiehlt einige Sicherheitsvorkehrungen, damit sie nicht erfolgreich ausgenutzt werden kann. Bisher müssen diese Updates aber noch manuell von den Kunden selbst eingespielt werden, obwohl ja eigentlich Microsoft für den OMI-Agent verantwortlich ist.

Ebenso wird das Update bisher wohl nur schrittweise ausgerollt und soll je nach einzelner Komponente erst im Laufe des kommenden Wochenendes global verfügbar sein. Details zur Update-Verfügbarkeit sowie Hinweise zum Einspielen der Aktualisierungen liefert der Blogeintrag des MSRC.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Custom Keyboard
Youtuber baut riesige Tastatur für 13.500 Euro

Die Switches haben das 64-fache Volumen und das Gehäuse ist menschenhoch: Ein Youtuber baut eine absurd große Tastatur für absurd viel Geld.

Custom Keyboard: Youtuber baut riesige Tastatur für 13.500 Euro
Artikel
  1. Super Nintendo: Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux
    Super Nintendo
    Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux

    Aus 80.000 Zeilen C-Code besteht die per Reverse Engineering generierte Version von Zelda 3. Die bringt einige Verbesserungen und 16:9.

  2. Twitter: Der blaue Haken bringt Musk nur wenig Geld
    Twitter
    Der blaue Haken bringt Musk nur wenig Geld

    Weltweit hat Twitter angeblich schon einige Hunderttausend zahlende Nutzer. Das dürfte die Finanzprobleme aber nur wenig mildern.

  3. Linux: Alte Computer zu neuem Leben erwecken
    Linux
    Alte Computer zu neuem Leben erwecken

    Computer sind schon nach wenigen Jahren Nutzungsdauer veraltet. Doch mit den schlanken Linux-Distributionen AntiX-Linux, Q4OS oder Simply Linux erleben ältere PC-Systeme einen zweiten Frühling.
    Von Erik Bärwaldt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • DAMN-Deals: AMD CPUs zu Tiefstpreisen (u. a. R7 5800X3D 324€)• MindStar: Zotac RTX 4070 Ti 949€, XFX RX 6800 519€ • WSV-Finale bei MediaMarkt (u. a. Samsung 980 Pro 2 TB Heatsink 199,99€) • RAM im Preisrutsch • Powercolor RX 7900 XTX 1.195€ • PCGH Cyber Week nur noch kurze Zeit [Werbung]
    •  /