Ermeticは1月19日(米国時間)、「EmojiDeploy: Smile! Your Azure web service just got RCE’d ._. - Ermetic」において、Microsoftが提供しているクラウドプラットフォーム「Microsoft Azure」に新たな脆弱性が見つかったと伝えた。

  • EmojiDeploy: Smile! Your Azure web service just got RCE’d ._. - Ermetic

    EmojiDeploy: Smile! Your Azure web service just got RCE’d ._. - Ermetic

Microsoft Azureに関連する複数のサービスに影響を与える新たな重大なリモートコード実行の欠陥が発見され、悪用されると、ターゲットのアプリケーションが完全に制御される危険性があることが明らかとなった。

「EmojiDeploy」と呼ばれているこの脆弱性はソースコントロール管理(SCM: Source Control Management)を提供するKuduサービスへのクロスサイトリクエストフォージェリ(CSRF: Cross-Site Request Forgery)攻撃から始まるとされている。EmojiDeployを悪用することで、攻撃者は最終的にペイロードを含む悪意のあるZIPファイルを被害者のAzureアプリケーションに展開することができるとのこと。

EmojiDeployは多くのMicrosoft Azureサービスに影響を与える脆弱性と報告されている。影響を受けるとされる主なMicrosoft Azureサービスは次のとおり。

  • Azure Function
  • Azure App Service
  • Azure Logic Apps

ErmeticはEmojiDeployに関する情報を公開するとともに、Microsoftに報告したと伝えている。Microsoftはこの問題に対しすでに修正を行ったという。今回のようなセキュリティのリスクから身を守るには、ユーザーの特権を最小限にすること、不審なリンクを踏まないこと、複雑なクラウド構成を理解しておくなどの対策を行っておくことが望まれている。