據研究人員稱，微軟的Azure Functions云容器的一個權限升級漏洞可能會允許用戶逃逸虛擬容器。

由于觸發該漏洞需要規避一個flush-to-disk限制，Intezer研究人員將該漏洞稱為 "Royal Flush"。逃脫flush-to-disk限制就意味著要把數據移交給內核，在那里數據對于其他進程來說是可見的，但是在系統重啟后可能就無法使用了。

[[394958]]

該公司發現，Azure Functions容器在運行時會使用privileged Docker標志，這意味著Docker主機和容器使用者都可以共享/dev目錄中的設備文件。該漏洞是由于這些設備文件具有 "他人 "的讀寫權限而引起的。

周四發布的分析報告中描述，"相對寬松的設備文件權限并不是系統的默認設置"。

根據Intezer的說法，由于Azure Functions環境中包含了52個不同的文件系統分區，這些分區可以使得不同權限的用戶可見，這個特點就成了一個很大的安全問題。

研究人員解釋說："我們懷疑這些分區是屬于其他Azure Functions客戶端的，但通過進一步的評估顯示，這些分區只是同一操作系統所使用的普通文件系統，比如Docker主機的文件系統pmem0 "。

Intezer研究副總裁Ari Eitan告訴Theatpost："在攻擊者以一個低權限的用戶身份來訪問受害者環境的情況下，這可能就會變得非常危險，利用這個漏洞，攻擊者可以升級權限，做一些他本不能夠做到的事情(例如從文件系統中讀取文件)。"

此外，雖然該漏洞不是一個Docker逃逸漏洞，他說："如果用戶能夠升級到root權限，他們將能夠使用各種Docker逃逸技術逃逸到Docker主機內，將這兩者結合在一起使用，對于系統的安全來說將是一個巨大的威脅。"

Royal Flush云容器漏洞

為了查找這種設置可能會產生的攻擊路徑，研究人員創建了一個本地測試容器。他們發現，通過使用Debugfs程序(一種用于調試Linux內核的特殊程序，可以用來檢查和改變文件系統的狀態)，一個無權限的用戶可以輕松穿越Azure Functions文件系統。而且，事實證明，非特權用戶還可以直接編輯其中的任何文件。

據分析："一開始，我們嘗試使用zap_block命令直接編輯文件系統塊的內容。在系統內部，Linux內核會將/dev/sda5設備文件進行修改處理，對/etc/passwd文件的修改會寫入到緩存中。因此，需要將系統的更改刷新到磁盤內，這種刷新是由Debugfs程序處理實現的。"

然而，研究人員找到了一種方法，能夠繞過這種對文件進行直接修改的限制。

研究人員解釋說："首先，我們在容器的diff目錄中，通過Debugfs創建了一個硬鏈接，這樣更改就會影響到我們的容器中的文件了。"

他們補充說："這個硬鏈接仍然需要root權限來編輯，所以我們還必須要使用zap_block來編輯其中的內容。受一個名為'pagecache管理'的項目啟發，我們可以使用posix_fadvise來使得內核從緩存中刷新頁面。這會使得內核加載我們的修改，我們最終會將它們傳播到Docker主機文件系統中。"

研究人員指出，Debugfs還支持寫模式，允許用戶對底層磁盤進行修改。他們補充說："需要重點注意的是，我們通常不會向掛載的磁盤中寫入內容，因為它可能會導致磁盤的損壞"。

研究人員解釋說，由于攻擊者可以編輯Docker主機的任意文件， 因此他們可以對/etc/ld.so.preload文件進行修改，這將允許攻擊者進行"預加載-劫持 "攻擊，通過容器的diff目錄來傳播惡意的共享文件。

根據研究人員分析："這個文件可能會被預加載到Docker主機系統中的每個進程中(我們之前就記錄了使用這種技術的HiddenWasp惡意軟件)，因此攻擊者這樣就能夠在Docker主機上執行惡意代碼。"

Intezer向微軟安全響應中心(MSRC)報告了該漏洞，但微軟并沒有發布補丁。根據分析，這家計算巨頭認定該漏洞 "對Azure Functions用戶的安全沒有影響"，因為研究人員使用的Docker主機實際上是一個HyperV容器，有另一個沙箱的保護。但這并不是說這個漏洞在其他的配置下就不會有危險。

Eitan說："盡管MSRC說這個沒有什么可擔心的，但我們相信高級攻擊者可以利用這個漏洞，并且它可以幫助攻擊者進行更高級別的攻擊，這也就是我們要公布它的原因。"

研究人員還提供了漏洞驗證的代碼。

微軟對此并沒有立即進行回復評論。

Intezer建議："通過這樣的案例我們可以發現，漏洞有時是未知的，或者是消費者無法控制的，我們建議要對云安全采取雙層保護的方法。做好基本的防護工作，比如修復已知的漏洞和加固你的操作系統，降低被攻擊的可能性。實施運行時的保護策略，檢測和應對漏洞的利用和其他的內存攻擊。"

本文翻譯自：https://threatpost.com/azure-functions-privilege-escalation/165307/