OMIGOD: Microsoft empfiehlt Nutzer-Updates für Azure-Lücke

Ein von Microsoft in Azure-VMs untergebrachter Dienst enthält eine kritische Sicherheitslücke. Updates werden aber nicht direkt selbst ausgespielt.

Artikel veröffentlicht am ,
Von den OMI-Lücken sind vor allem Linux-VMs betroffen.
Von den OMI-Lücken sind vor allem Linux-VMs betroffen. (Bild: Pixabay)

In einem aktuellen Blogeintrag warnt das Microsoft Security Response Center (MSRC) Kunden des Cloud-Dienstes Azure vor teils gefährlichen und leicht ausnutzbaren Sicherheitslücken und fordert zu Updates auf. Das brisante daran ist jedoch, dass Microsoft die Lücken offenbar selbst zu verantworten hat, aber die Updates zunächst nicht direkt selbst an alle betroffenen Kunden ausrollt.

Stellenmarkt
  1. Senior C# .NET Engineer / Developer (m/w/d) | on-site oder remote
    Best Secret GmbH, Aschheim bei München oder remote Berlin, Hamburg, Köln, Frankfurt, Stuttgart oder Leipzig
  2. Managing Director Produktentwicklung (m/w/d)
    über Dr. Maier & Partner GmbH Executive Search, Frankfurt am Main
Detailsuche

Konkret betroffen ist der Dienst Open Management Infrastructure (OMI). Dabei handelt es sich um eine Web-basierte Management-Lösung für Azure-Kunden, die Cloud-Anbieter Microsoft in Linux- und Unix-VMs unterbringt, falls die Kunden bestimmte weitere Cloud-Dienste aktivieren. Zur Nutzung von OMI fügt Azure einen eigenen OMI-Agent in die von Kunden genutzten VM-Abbilder ein.

Ausgenutzt werden kann eine der Lücken (CVE-2021-38647) zum Ausführen von Code (RCE), wofür keine Authentifizierung notwendig ist. Drei weitere Lücken (CVE-2021-38645, CVE-2021-38648, CVE-2021-38649) eignen sich dazu, die Rechte auszuweiten, um etwa Root-Rechte zu erlangen. Das auf Cloud-Security spezialisierte Unternehmen Wiz bezeichnet die Lücken mit dem Namen OMIGOD.

Zwar stellt Microsoft inzwischen ein Update für die RCE-Lücke bereit und empfiehlt einige Sicherheitsvorkehrungen, damit sie nicht erfolgreich ausgenutzt werden kann. Bisher müssen diese Updates aber noch manuell von den Kunden selbst eingespielt werden, obwohl ja eigentlich Microsoft für den OMI-Agent verantwortlich ist.

Deep Learning mit Microsoft Azure
Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Dive-in-Workshop: Kubernetes
    25.-28. Januar 2022, online
  3. Python kompakt - Einführung für Softwareentwickler
    28.-29. Oktober 2021, online
Weitere IT-Trainings

Ebenso wird das Update bisher wohl nur schrittweise ausgerollt und soll je nach einzelner Komponente erst im Laufe des kommenden Wochenendes global verfügbar sein. Details zur Update-Verfügbarkeit sowie Hinweise zum Einspielen der Aktualisierungen liefert der Blogeintrag des MSRC.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
4700S Desktop Kit im Test
AMDs Playstation-5-Platine ist eine vertane Chance

Mit dem 4700S Desktop Kit bietet AMD höchstselbst die Hardware der Playstation 5 für den PC an. Das Board ist aber eine Sache für sich.
Ein Test von Marc Sauter

4700S Desktop Kit im Test: AMDs Playstation-5-Platine ist eine vertane Chance
Artikel
  1. Studie: Gehirnschäden durch Langzeitaufenthalt im Weltraum
    Studie
    Gehirnschäden durch Langzeitaufenthalt im Weltraum

    Weltraumreisen können einen Hirnschaden verursachen. Zumindest wenn es sich um Langzeitaufenthalte auf der ISS handelt.

  2. SUV mit Elektroantrieb: Tesla liefert neues Model X mit eckigem Lenkrad aus
    SUV mit Elektroantrieb
    Tesla liefert neues Model X mit eckigem Lenkrad aus

    Tesla hat die ersten Model X mit dem neuen Lenkrad, quer eingebautem Display und Falcon-Wings-Türen ausgeliefert.

  3. James-Webb-Teleskop: Transport von 9.300 Kilometern übers Meer
    James-Webb-Teleskop
    Transport von 9.300 Kilometern übers Meer

    Das James-Webb-Teleskop wurde über 9.300 Kilometer auf dem Meer transportiert. Doch wie verschifft man das weltgrößte Weltraumteleskop?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
    •  /