Ameaças silenciosas reveladas pela empresa Trend Micro apresenta várias vulnerabilidades no Azure Machine Learning durante uma sessão no último Black Hat USA 2023.
Na sessão, “Descobrindo as Ameaças Silenciosas do Azure. Uma Jornada para as Vulnerabilidades na Nuvem”, a Trend Micro descobriu falhas no Azure ML, o produto gerenciado de aprendizado de máquina como serviço (MLaaS) de plataforma em nuvem. As descobertas da Trend Micro incluem duas classes de vulnerabilidades: registro inseguro de informações confidenciais e divulgação de informações confidenciais.
Na primeira classe, os pesquisadores da Trend Micro encontraram “cinco instâncias de vazamento de credenciais em texto claro em Instâncias de Computação devido ao uso inseguro de componentes de código aberto e ao design inseguro do sistema de como o ambiente estava sendo provisionado”, conforme descrito na sessão Black Hat.
Na segunda classe, os pesquisadores descobriram uma instância de middleware em nuvem, vazando dados confidenciais de instâncias do Azure Compute por meio de APIs expostas. A Trend Micro explicou que os atores de ameaças poderiam explorar essa vulnerabilidade depois de obter acesso inicial para se mover lateralmente dentro de um ambiente.
O pesquisador sênior de ameaças da Trend Micro, Nitesh Surana, que liderou a sessão, informou que o objetivo era se concentrar em vulnerabilidades mais tradicionais que muitas vezes estão escondidas nos serviços em nuvem e são distintas dos bugs de inquilinos (Tenants) de maior criticidade em que as organizações mais comumente se concentram. Além disso, ele enfatizou que questões como essas também podem existir em outras plataformas e serviços em nuvem.
Outros participantes da sessão incluíram o especialista em segurança da informação da Trend Micro Magno Logan e o pesquisador de vulnerabilidade e ameaça de nuvem da Trend Micro, David Fiser.
Nitesh Surana disse que a Trend Micro realmente descobriu três classes de vulnerabilidades, mas a terceira classe, que foi relatada à Microsoft em abril, ainda não havia sido definitivamente corrigida. E como os pesquisadores seguiram a divulgação de 120 dias de bugs previamente estabelecidos, eles decidiram abandonar a terceira categoria no último dia de gravação da sessão, que foi apresentada virtualmente.
“A terceira classe de bugs permitiu alcançar a persistência nos ambientes Azure Machine Learning”. Segundo Nitesh Surana, que disse: “Pode-se buscar credenciais e tokens de ambientes não-Azure gerando alguns logs, o que não seria muito diferente da atividade legítima.”
Surana disse que as falhas (Ameaças Silenciosas) foram corrigidas silenciosamente pela Microsoft. Depois que a Trend Micro relatou esses problemas, disse ele, os pesquisadores tiveram dificuldade em obter informações da Microsoft sobre como e quando os problemas foram corrigidos. No entanto, quando vários relatórios foram fechados como “por design”, o que significa que reflete um recurso interno em vez de um bug, Surana disse que a Trend Micro recebeu um feedback claro explicando o motivo.
Um porta-voz da Microsoft compartilhou uma declaração: “Apreciamos o trabalho da ZDI-Trend Micro em identificar e relatar responsavelmente essas vulnerabilidades por meio de uma divulgação coordenada de vulnerabilidade”, disse o porta-voz. “Temos tomado medidas para proteger nossos clientes, e nenhuma ação do cliente é necessária.”
O patch silencioso de vulnerabilidades na nuvem tem sido um problema contínuo para os pesquisadores, que reclamam que os principais provedores de nuvem não estão conseguindo resolver e divulgar adequadamente bugs significativos em suas plataformas e serviços. A Microsoft tem enfrentado críticas crescentes de fornecedores e pesquisadores de segurança cibernética nos últimos anos: em junho de 2022, o CEO da Tenable, Amit Yoran, criticou a gigante do software por minimizar e corrigir silenciosamente falhas críticas no Azure. E no início deste mês, Yoran chamou a Microsoft novamente por comportamento semelhante em relação a um problema crítico na Microsoft Power Platform.
A principal conclusão da sessão, explicou Surana, é que, à medida que as empresas envolvem ofertas de MLaaS baseadas em nuvem, elas devem estar cientes da postura de segurança subjacente de cada plataforma. Ele disse que as organizações de usuários finais devem seguir práticas de defesa em profundidade, o que ajudará a reduzir problemas se, por exemplo, uma chave de acesso de conta de armazenamento for registrada em texto claro e carregada no GitHub. Se as credenciais forem vazadas, mas a conta de armazenamento estiver atrás de uma rede virtual, isso mitigará a capacidade de um ator de ameaças de usar essas credenciais.
“Esta palestra é especificamente focada em um serviço específico, mas os mesmos princípios também podem ser aplicados a outros serviços”, disse Surana. “Não é uma questão de saber se uma vulnerabilidade como essa é explorada, mas quando. Você não pode se sentar em cima de um bug se ele existir em seu ambiente. Você precisa fazer algo a seu propósito.”
Desafios Persistem: Expondo as Fragilidades do Azure Machine Learning
A recente revelação da Trend Micro sobre vulnerabilidades no Azure Machine
Learning durante o Black Hat USA 2023 lança luz sobre ameaças silenciosas que
permeiam ambientes de nuvem aparentemente seguros. Na sessão intitulada
“Descobrindo as Ameaças Silenciosas do Azure”, a equipe da Trend
Micro destacou duas classes de vulnerabilidades que afetam o Azure ML: registro
inseguro de informações confidenciais e divulgação inadvertida dessas
informações.
A primeira classe de vulnerabilidades exposta pela Trend Micro destaca
vazamentos de credenciais em texto claro em instâncias de computação. Isso se
deve ao uso inseguro de componentes de código aberto e a um design vulnerável
do sistema durante o provisionamento do ambiente. Essas descobertas ressaltam a
importância de uma abordagem mais cuidadosa ao desenvolver ambientes em nuvem,
enfatizando a segurança desde a concepção.
A segunda classe revela uma preocupação mais ampla, com a descoberta de uma
instância de middleware em nuvem vazando dados confidenciais das instâncias do
Azure Compute por meio de APIs expostas. Esse tipo de vulnerabilidade destaca a
necessidade crítica de uma gestão eficaz das APIs e ressalta como os atores de
ameaças podem explorar brechas após obter acesso inicial.
Nitesh Surana, pesquisador sênior de ameaças da Trend Micro, liderou a
sessão e enfatizou que o foco estava em vulnerabilidades mais tradicionais,
muitas vezes negligenciadas, que persistem nos serviços em nuvem. A descoberta
de uma terceira classe de bugs, relacionada à persistência nos ambientes Azure
Machine Learning, destaca a complexidade dessas plataformas e a necessidade
contínua de vigilância.
Apesar de relatar essas vulnerabilidades à Microsoft, os pesquisadores
enfrentaram desafios ao obter informações claras sobre as correções realizadas.
A resposta “por design” para alguns relatórios evidencia a
complexidade das correções silenciosas na nuvem. A Microsoft assegurou que
tomou medidas para proteger os clientes, mas a experiência da Trend Micro
destaca a necessidade urgente de maior transparência e colaboração na correção
de vulnerabilidades em plataformas em nuvem. A sessão concluiu com uma chamada para a conscientização das organizações
que adotam ofertas de MLaaS em nuvem. A segurança subjacente de cada plataforma
deve ser cuidadosamente avaliada, e práticas de defesa em profundidade são
essenciais para mitigar os impactos potenciais de vulnerabilidades, mesmo
quando elas são corrigidas silenciosamente. O episódio destaca a necessidade de
uma abordagem proativa na proteção contra ameaças que podem comprometer a
integridade dos dados em ambientes de aprendizado de máquina na nuvem.
Siga essa e mais notícias sobre tecnologia clicando em nossa página do Instagram e Facebook.
Você também pode gostar desses posts:
- Concorrente do Gmail, Proton lança aplicativo de e-mail e calendário para computador
- Como Evitar Fraudes Online na Semana do Consumidor e Além
- Como garantir sua segurança ao clicar em links online
- O que é o rSIM e como está revolucionando a conectividade móvel
- Contas Válidas: Foi o Alvo Preferido dos Hackers em 2023
