OMIGOD: Microsoft empfiehlt Nutzer-Updates für Azure-Lücke

Ein von Microsoft in Azure-VMs untergebrachter Dienst enthält eine kritische Sicherheitslücke. Updates werden aber nicht direkt selbst ausgespielt.

Artikel veröffentlicht am ,
Von den OMI-Lücken sind vor allem Linux-VMs betroffen.
Von den OMI-Lücken sind vor allem Linux-VMs betroffen. (Bild: Pixabay)

In einem aktuellen Blogeintrag warnt das Microsoft Security Response Center (MSRC) Kunden des Cloud-Dienstes Azure vor teils gefährlichen und leicht ausnutzbaren Sicherheitslücken und fordert zu Updates auf. Das brisante daran ist jedoch, dass Microsoft die Lücken offenbar selbst zu verantworten hat, aber die Updates zunächst nicht direkt selbst an alle betroffenen Kunden ausrollt.

Stellenmarkt
  1. Techniker (m/w/d) im Field Service Netzbetrieb
    willy.tel GmbH, Hamburg
  2. Software Architect (w/m/d)
    Analytik Jena GmbH, Jena
Detailsuche

Konkret betroffen ist der Dienst Open Management Infrastructure (OMI). Dabei handelt es sich um eine Web-basierte Management-Lösung für Azure-Kunden, die Cloud-Anbieter Microsoft in Linux- und Unix-VMs unterbringt, falls die Kunden bestimmte weitere Cloud-Dienste aktivieren. Zur Nutzung von OMI fügt Azure einen eigenen OMI-Agent in die von Kunden genutzten VM-Abbilder ein.

Ausgenutzt werden kann eine der Lücken (CVE-2021-38647) zum Ausführen von Code (RCE), wofür keine Authentifizierung notwendig ist. Drei weitere Lücken (CVE-2021-38645, CVE-2021-38648, CVE-2021-38649) eignen sich dazu, die Rechte auszuweiten, um etwa Root-Rechte zu erlangen. Das auf Cloud-Security spezialisierte Unternehmen Wiz bezeichnet die Lücken mit dem Namen OMIGOD.

Zwar stellt Microsoft inzwischen ein Update für die RCE-Lücke bereit und empfiehlt einige Sicherheitsvorkehrungen, damit sie nicht erfolgreich ausgenutzt werden kann. Bisher müssen diese Updates aber noch manuell von den Kunden selbst eingespielt werden, obwohl ja eigentlich Microsoft für den OMI-Agent verantwortlich ist.

Deep Learning mit Microsoft Azure
Golem Akademie
  1. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Zwei-Tage-Workshop
    16.–17. November 2021, Virtuell
Weitere IT-Trainings

Ebenso wird das Update bisher wohl nur schrittweise ausgerollt und soll je nach einzelner Komponente erst im Laufe des kommenden Wochenendes global verfügbar sein. Details zur Update-Verfügbarkeit sowie Hinweise zum Einspielen der Aktualisierungen liefert der Blogeintrag des MSRC.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. Rockstar Games: Neue GTA Trilogy läuft auch auf älterer PC-Hardware
    Rockstar Games
    Neue GTA Trilogy läuft auch auf älterer PC-Hardware

    Die Grafik der überarbeiteten GTA Trilogy sieht im Video viel besser aus als im Original. Trotzdem muss es keine ganz neue Hardware sein.

  2. Staatstrojaner: Journalist der New York Times mit Pegasus gehackt
    Staatstrojaner
    Journalist der New York Times mit Pegasus gehackt

    Nach mehreren Versuchen wurde ein Journalist der New York Times mit dem NSO-Trojaner Pegasus infiziert. Schützen konnte er sich nicht.

  3. Amazon-Go-Konkurrenz: Rewe eröffnet ersten kassenlosen Supermarkt
    Amazon-Go-Konkurrenz
    Rewe eröffnet ersten kassenlosen Supermarkt

    Kameras und Sensoren überwachen Kunden in Rewes kassenlosem Supermarkt. Bezahlt wird mit dem Smartphone.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Nintendo Switch OLED 369,99€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 ab 2.249€ • EA-Spiele günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /