Wie Schwachstellen bei der API-Authentifizierung im Mittelpunkt von Cloud-Sicherheitsbedenken stehen

Aug 25, 2023

Die Cloud-Dienste von Microsoft sind in den letzten Monaten auf den Prüfstand geraten, wobei APIs im Mittelpunkt stehen. Im Folgenden finden Sie einige Strategien zur Minderung von Sicherheitsproblemen, die bei der Verwendung von APIs auftreten können.

Der Cloud-Computing-Himmel war in letzter Zeit etwas stürmisch für Microsoft, das sich nicht nur im Fadenkreuz eines Angreifers befand, der die Authentifizierung missbrauchte, sondern auch der Firma Tenable, die darauf hinwies, dass der Cloud-Dienstleistungsriese ein allgemeines Problem mit der Authentifizierung hat. Ein Beitrag von Microsoft und ein Artikel von Tenable beleuchteten beide das Problem der Cloud-Authentifizierung und beleuchteten einige ihrer Schwächen.

Im Tenable-Beitrag wurde Microsoft wegen mangelnder Transparenz bei der Cloud-Sicherheit zur Rede gestellt. Wie Amit Yoran, CEO von Tenable, beschreibt, ist das betreffende Problem „aufgrund einer unzureichenden Zugriffskontrolle auf Azure-Funktionshosts aufgetreten, die im Rahmen der Erstellung und des Betriebs benutzerdefinierter Konnektoren in Microsofts Power Platform (Power Apps, Power Automation) gestartet werden“. "

Wenn Sie eine Azure-URL erraten haben, können Sie auch ohne Authentifizierung Zugriff erhalten. Wie Yoran schrieb: „Es war daher für einen Angreifer möglich, der den Hostnamen der Azure-Funktion ermittelte, die mit dem benutzerdefinierten Connector verknüpft ist, ohne Authentifizierung mit der Funktion zu interagieren, wie durch den benutzerdefinierten Connector-Code definiert. Mit einem solchen Hostnamen könnte ein Angreifer dies tun.“ Bestimmen Sie die Hostnamen für Azure Functions, die mit den benutzerdefinierten Connectors anderer Kunden verknüpft sind, da sie sich nur durch eine ganze Zahl unterscheiden.“

Microsoft gab seinerseits in einem technischen Hinweis an, dass es die Schwachstelle bei der Offenlegung benutzerdefinierter Codeinformationen der Power Platform gemindert und betroffene Kunden ab August 2023 über das Microsoft 365 Admin Center (MC665159) über dieses Problem informiert hat – falls Sie dies nicht erhalten haben Nach der Benachrichtigung ist keine Aktion erforderlich.

Im Mittelpunkt des Problems stehen Anwendungsprogrammierschnittstellen (API), die einen Dienst oder eine Verbindung zwischen anderen Softwareteilen anbieten, ohne dass eine menschliche Anmeldung erforderlich ist. Bei APIs ist es oft schwierig, auf die Sicherheit zuzugreifen, bis etwas passiert.

Unternehmen müssen häufig spezialisierte Berater beauftragen, die Software zu überprüfen und sicherzustellen, dass keine offensichtlichen Schwachstellen vorliegen. Von Open-Source-Software bis hin zu proprietärer Software: Sofern sie nicht von Spezialisten überprüft wird, reicht die Überprüfung des Anbieters allein in der Regel nicht aus, um Probleme zu finden.

Die Top 10 der OWASP-API-Sicherheit listet die typischen Top-Probleme auf, auf die Sie beim Umgang mit APIs achten sollten. Angefangen von fehlerhafter Autorisierung auf Objektebene bis hin zur unsicheren Nutzung von APIs zeigt es, dass wir bei APIs allzu oft einfach zu sehr auf deren Verwendung vertrauen. Außerdem neigen wir dazu, die Verwendung von APIs selten einzuschränken, da wir einen Dienst anbieten, der von der breiten Öffentlichkeit genutzt werden kann. Wenn Ihre Verwendung von APIs nicht von der breiten Öffentlichkeit genutzt wird, sollten Sie die Verwendung zusätzlicher Technologien in Betracht ziehen, die sich derzeit in der Betaphase befinden und möglicherweise zusätzlich schützen und verteidigen können.

Einige dieser Lösungen sind jedoch noch nicht weit verbreitet und befinden sich noch in der öffentlichen Vorschau. Ein typisches Beispiel ist die IP-Firewall-Lösung von Microsoft, die sich derzeit in Power Platform-Umgebungen in der Vorschau befindet. Wie in der Microsoft-Dokumentation erwähnt, trägt es dazu bei, Insider-Bedrohungen wie Datenexfiltration in Echtzeit abzuschwächen. „Ein böswilliger Benutzer, der versucht, Daten von Dataverse mithilfe eines Client-Tools wie Excel oder Power BI herunterzuladen, wird aufgrund des IP-Standorts daran gehindert, die Daten herunterzuladen.“

Die IP-Firewall hilft auch dabei, Token-Replay-Angriffe von außerhalb konfigurierter IP-Bereiche zu stoppen. „Wenn ein Benutzer ein Token stiehlt und versucht, damit von außerhalb konfigurierter IP-Bereiche auf Dataverse zuzugreifen, wird der Zugriff von Dataverse in Echtzeit verweigert.“ Die IP-Firewall funktioniert sowohl für interaktive als auch für nicht interaktive Szenarien und ist für verwaltete Umgebungen verfügbar. und wird für jede Power Platform-Umgebung unterstützt, die Dataverse enthält.

Bei APIs beschränken sich die Sicherheitsprobleme oft auf das Wesentliche:

Berechtigungen. Übersehen Sie nicht die Grundlagen von API-Berechtigungen und lassen Sie nicht zu, dass sie bei Cloud-Diensten zu freizügig sind. Wie beim Benutzerzugriff können die Grundlagen von Berechtigungen häufig zu Offenlegungen oder Angriffen führen. Beschränken Sie die Nutzung des Zugangs auf das erforderliche Minimum.

Übersehen Sie nicht die Grundlagen des Patchens. Software jeglicher Art muss aktualisiert werden, und bei Cloud-Implementierungen ist das nicht anders. Stellen Sie sicher, dass Sie wissen, wie neuere Software bereitgestellt werden muss: Herkömmliche Patch-Techniken funktionieren möglicherweise für einige, andere erfordern jedoch möglicherweise eine erneute Bereitstellung. Überprüfen Sie die Optionen mit Ihrem Anbieter.

Aktivieren Sie nur das, was Sie brauchen . Um die Kosten und den Zugriff zu begrenzen, aktivieren Sie nur die Funktionen, die für Ihre Implementierung von entscheidender Bedeutung sind. Wenn Sie eine Funktion aktiviert haben und später feststellen, dass Sie sie nicht benötigen, stellen Sie sicher, dass Sie die Einstellungen deaktivieren.

Seien Sie wachsam bei Anfragen.Überprüfen Sie eingehende Anfragen und Protokolldateien und prüfen Sie, ob es Unstimmigkeiten bei der Art und Weise gibt, wie die Anfragen gestellt werden.

Erzwingen Sie eine sichere Übertragung.Stellen Sie sicher, dass die Grundlagen einer sicheren Übertragung befolgt werden, einschließlich der Aktivierung der Transport Layer Security (TLS).

Überwachen Sie die Cache-Steuerung.Für Clients müssen Sicherheits- oder Cache-Kontrollanweisungen festgelegt werden, Anweisungen, die steuern, wie Browser und andere Vermittler Webressourcen zwischenspeichern und validieren.

Überwachen Sie Ihre Richtlinien.Suchen Sie nach falsch festgelegten oder fehlenden Richtlinien für die ursprungsübergreifende gemeinsame Nutzung von Ressourcen.

Was kommunizieren Fehlermeldungen?Fehlermeldungen sollten auf ihr Potenzial zur Offenlegung vertraulicher Informationen überprüft werden.

Natürlich können APIs auch anfällig für das sein, wofür fast alles andere in der Technologie anfällig ist: schwache Passwörter, die missbraucht werden können. Daher müssen APIs so codiert werden, dass sie keine schwachen Passwörter zulassen und keinem Credential Stuffing ausgesetzt sind. Darüber hinaus sollten schwach gehashte Passwörter blockiert werden.

Sie sollten Ihre Anwendung auf alle Authentifizierungsabläufe überprüfen, die verwendet werden können, von Desktop-Anwendungen über mobile bis hin zu Single-Sign-On-Implementierungen. Richten Sie regelmäßig einen Überprüfungsplan ein, um sicherzustellen, dass Sie verschiedene Mechanismen überprüfen. Stellen Sie sicher, dass beim Zugriff auf vertrauliche Informationen eine zusätzliche Authentifizierung erforderlich ist. Daher sollte der Zugriff auf sich ändernde Kontoinformationen eine zusätzliche Authentifizierung erfordern.

Stellen Sie abschließend sicher, dass Sie über eine Implementierung der Zwei-Faktor-Authentifizierung verfügen, und überprüfen Sie weiterhin, wie diese implementiert wird. Wenn Sie SMS lediglich als Zwei-Faktor-Methodik anbieten, reicht das für zukünftige Anforderungen nicht aus. Auch wenn jede Zwei-Faktor-Implementierung besser ist als keine, behalten Sie stets die Verbesserung der Authentifizierungstechniken im Auge.

Dazu gehört, dass Sie Ihre Lieferanten dazu drängen, bessere Leistungen zu erbringen und Sie zeitnaher mit Informationen zu versorgen. Offensichtlich muss Microsoft noch besser werden – stellen Ihnen die anderen Anbieter auch die Informationen zur Verfügung, die Sie benötigen? Ich vermute, dass es bei allen besser werden muss.