聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
微軟 Azure 自動化服務提供進程自動化、配置管理和更新管理特性服務,每個Azure 客戶的每個預定任務都在隔離的沙箱中運行。
該漏洞由 Orca Security 公司的雲安全研究員Yanir Tsarimi 發現並被命名為 「AutoWarp」。攻擊者可利用該漏洞從管理其它用戶沙箱的內部服務器中竊取其它Azure 客戶的管理身份認證令牌。他指出,「具有惡意意圖的人員本可繼續抓取令牌,並利用每個令牌攻擊更多的Azure客戶。根據客戶分配權限的情況,這種攻擊可導致目標賬戶的資源和數據被完全控制。我們發現很多大公司都受影響,包括一家跨國電信公司、兩家汽車製造商、一家銀行企業集團、四家會計事務所等等。」
受該漏洞影響的Azure 自動化賬戶包括啟用了管理身份特性的賬戶(Tsarimi 指出,默認為啟用狀態)。
微軟表示,「使用自動化Hybrid工人進行執行和/或自動化Run-As賬戶訪問資源的自動化賬戶並不受影響。」
2021年12月10日,在漏洞報告第五天,微軟攔截除合法訪問權限以外的對所有沙箱的認證令牌的訪問權限。
微軟於今天披露該漏洞,並表示並未發現管理身份令牌遭濫用或AutoWarp遭利用的證據。微軟已通知所有受影響 Azure自動化服務客戶並推薦採取相關安全最佳實踐。
另外,2021年12月,微軟還修復了另外一個 Azure 漏洞(被稱為」NotLegit」),攻擊者可利用該漏洞獲得訪問客戶 Azure web應用源代碼的訪問權限。
微軟 Azure App Service 漏洞 NotLegit已存在4年,客戶源代碼被暴露
微軟在 Linux 虛擬機偷偷安裝Azure App,後修復嚴重漏洞但Linux虛擬機難以修復
因使用五年前的老舊代碼,Azure 容器險遭黑客接管,微軟已修復
Windows 365 以明文形式暴露微軟 Azure 憑據
我發現了 Microsoft Azure 中的兩個漏洞
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-critical-azure-bug-that-exposed-customer-data/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表