虽然网络安全是一个动态发展的领域,威胁参与者和防御者本质上是相互竞争,但当您的产品存在攻击者可以轻松利用的安全漏洞时,它就无济于事。这在微软之前就发生过Azure CosmosDB 中的一个主要设计缺陷多年来一直暴露客户数据,今天,该公司披露了另一个类似漏洞的详细信息,该漏洞现已修复。
Azure 自动化服务中的漏洞是由 Orca Security 发现的,虽然您可以在此处找到所有细节,但问题的症结在于安全漏洞启用了未经授权的跨帐户访问。
如果用户在 Azure 沙盒中运行 Azure 自动化作业,他们也可以利用该漏洞来访问其他人的托管身份令牌。这些令牌用于获得对 Azure 资源的访问权限,因此理论上,获得令牌访问权限的人可以提升整个受影响帐户的权限。
Orca Security 于 2021 年 12 月 6 日发现此漏洞并私下向微软报告名称为“AutoWarp”。它指出,几家使用 Azure 的大公司被曝光,包括一家全球电信公司、两家汽车制造商、会计师事务所和一家银行集团。微软12 月 10 日修补了该问题,然后花了一些时间来评估其影响和相关变体。然后,在 2022 年 3 月 7 日,该漏洞被公开披露。
微软强调它没有发现令牌被滥用的证据。使用 Automation Hybrid 工作人员执行执行和使用 Automation Run-As 帐户进行资源访问的客户不受影响,但公司已通知所有受影响的人。展望未来,该公司已建议 Azure 自动化用户遵循此处详述的安全准则。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun136799.html
微信扫一扫不于多少! 
支付宝扫一扫礼轻情意重 