Die Cloud-Plattform Azure von Microsoft zählt heute zu den beliebtesten Lösungen für Unternehmen aller Größenordnungen, um ihre Datenbanken und Anwendungen zu betreiben. Insbesondere Azure SQL Server ermöglicht es Organisationen, skalierbare, leistungsfähige Datenbankdienste zu nutzen. Doch wie jede komplexe Technologie ist auch Azure nicht frei von Schwachstellen. Eine neu entdeckte Sicherheitslücke im Umgang mit serverbasierten Firewall-Regeln kann dabei katastrophale Folgen haben – und zwar bis hin zum vollständigen Datenverlust ganzer Server und Ressourcen. Varonis Threat Labs, ein renommierter Sicherheitsforscher, hat eine gefährliche Verwundbarkeit in der Art und Weise aufgedeckt, wie Azure SQL Server mit den Namen von Firewall-Regeln umgeht.
Diese als Destructive Stored URL Parameter Injection bezeichnete Schwachstelle ermöglicht es Angreifern, die mit privilegiertem Zugang zum Server ausgestattet sind, bösartige Regeln zu erstellen, die bei Löschaktionen ungewollt weitreichende Folgen haben können. Die Folge ist, dass nicht nur Firewall-Regeln, sondern auch komplette Server oder andere Azure-Ressourcen gelöscht werden können. Um das Ausmaß dieser Sicherheitslücke besser zu verstehen, ist es wichtig, die Funktionsweise der Azure SQL Server Firewall näher zu betrachten. Azure verwendet zwei Ebenen von Firewall-Regeln: Client-seitig sind das Datenbank-Level und Server-Level. Für die Zugriffskontrolle auf eine Datenbank wird zunächst geprüft, ob eine Datenbank-spezifische Firewallregel für die IP existiert.
Wenn nicht, greift die generelle Server-Firewallregel. Allerdings können Manipulationen ausschließlich über die Server-Level-Firewallregeln mittels Azure Management API oder Azure Portal durchgeführt werden. Alternativ können auch alle Regeln per TSQL über gespeicherte Prozeduren angepasst werden, was jedoch Administrative Rechte voraussetzt. Während ihrer Untersuchungen stellten die Forscher fest, dass beim Erstellen von Firewall-Regeln mittels TSQL keine Zeichenbeschränkungen für die Namensgebung existieren. Dies ist ein besonders kritischer Punkt, denn unlimitierte oder unzureichend validierte Eingaben bieten häufig Angriffsflächen für Injektionsattacken.
Zwar führte ein erster Versuch, die Schwachstelle mittels Cross-Site-Scripting (XSS) auszunutzen, nicht zum gewünschten Effekt, da das Azure Portal die Anzeige verbotener Zeichen ausgraut und eine Warnung anzeigt. Doch war dies nur der Anfang der gefährlichen Entdeckungen. Das Löschen solcher seltsam benannten Regeln via Azure Portal verläuft nämlich anders als erwartet. Trotz des Warnhinweises lässt das Portal zu, dass diese Regeln entfernt werden. Hierbei wird der Name der Firewall-Regel in der URL der DELETE-Anfrage übertragen.
Kritisch wird es, wenn der Regelname Pfadnavigationen wie „../“ enthält. Dieser Teil der URL führt dazu, dass nicht die eigentliche Firewall-Regel gelöscht wird, sondern auf übergeordnete Ressourcen referenziert wird. Im schlimmsten Fall kann so der gesamte Azure SQL Server gelöscht werden, wie das Forscherteam eindrücklich demonstrierte.
Die Technik dahinter ist einfach und trotzdem erschreckend wirkungsvoll. Indem ein Angreifer eine Regel mit einem Namen wie „../“ oder mit mehrfachen Verzeichnissprüngen („..
/../../.
./…/“) anlegt, wird über das Ausführen der Löschfunktion eine Pfadauflösung in der URL erzwungen, die letztlich dazu führt, dass andere Azure-Ressourcen gelöscht werden. Durch den Manipulationsspielraum bei der URL können sogar völlig andere Ressourcen aus verschiedenen Azure-Diensten angegriffen werden. Besonders gefährlich ist, dass zum Anlegen dieser bösartigen Firewall-Regeln keine umfangreichen Berechtigungen notwendig sind. Bereits ein Konto mit Server-Administratorrollen oder einem Entra ID Principal mit Server-Admin-Rechten kann diese Prozeduren ausführen.
Somit reicht ein privilegierter Zugang auf den Azure SQL Server, um die Tür für diese zerstörerische Attacke zu öffnen. Die Frage, wie solche bösartigen Regeln unbemerkt bleiben können, wurde von den Forschern ebenfalls adressiert. Microsoft ermöglicht es, eine besonders bekannte Einstellung namens „Allow Azure services to access this server“ im Azure Portal zu aktivieren. Dies führt dazu, dass eine Firewall-Regel mit Start- und End-IP-Adresse „0.0.
0.0“ hinzugefügt wird und im Portal als ein aktiviertes Kontrollkästchen angezeigt wird. Wird dieses deaktiviert – etwa durch einen Administrator, der die Erlaubnis für Microsoft-Dienste entfernen will –, wird ein Löschbefehl an alle Regeln mit dieser IP-Adresse gesendet. Somit lässt sich die bösartige Regel mit der manipulierten URL verstecken, da sie den selben IP-Bereich nutzt und beim Deaktivieren der Einstellung mitgelöscht wird, was die zerstörerische Aktion auslöst. Die Kombination aus dieser unzureichenden Eingabekontrolle, URL-Pfadresolve-Mechanik und administrativen Handlungen öffnet Angreifern Tür und Tor, um über scheinbar harmlose Aktionen drastischen Schaden anzurichten.
Die theoretischen Angriffsszenarien reichen von erzwungener Denial-of-Service-Attacken bis hin zu gezielter Zerstörung kritischer Daten und Infrastruktur. Besonders perfide sind Phishing-Kampagnen oder soziale Ingenieurattacken, die IT-Administratoren dazu bringen, genau jene Einstellung zu deaktivieren, was dann die verheerende Löschung triggert. Microsoft hat die Schwachstelle bereits im August 2024 mit einer Teillösung gepatcht und im April 2025 vollständig behoben. Dennoch sollten Unternehmen, die Azure SQL Server intensiv nutzen, die Risiken kennen und gegebenenfalls sicherstellen, dass keine bösartigen Firewall-Regeln existieren. Dazu gehört, Firewall-Einstellungen regelmäßig zu überprüfen und ungewöhnliche oder benannte Regeln zu hinterfragen.
In der heutigen Welt, in der Cyberangriffe immer raffinierter und zielgerichteter werden, sind solche Sicherheitslücken besonders gefährlich. Administratoren und Sicherheitsexperten müssen sich bewusst sein, dass nicht nur klassische Angriffsmethoden wie Malware oder Phishing gefährlich sein können, sondern auch vermeintlich harmlose Infrastrukturkomponenten als Angriffsvektor dienen können. Der Vorfall unterstreicht insgesamt die Bedeutung einer ganzheitlichen Sicherheitsstrategie, die sowohl technische Absicherung als auch eine Sensibilisierung von Mitarbeiterinnen und Mitarbeitern umfasst. Dienstleister wie Varonis tragen mit innovativer Forschung dazu bei, aufkommende Bedrohungen frühzeitig zu identifizieren und zu bekämpfen. Um die eigene Umgebung zu schützen, empfiehlt es sich, Zugriffsrechte so restriktiv wie möglich zu gestalten und die Privilegienverwaltung systematisch zu überprüfen.
