Microsoft устранила уязвимость в службе автоматизации Azure, которая могла позволить злоумышленникам получить полный контроль над данными других клиентов Azure.
Служба автоматизации Microsoft Azure обеспечивает автоматизацию процессов, управление конфигурацией и функции управления обновлениями, при этом каждое запланированное задание выполняется в изолированных изолированных программных средах для каждого клиента Azure.
Уязвимость, названная AutoWarp исследователем облачной безопасности Orca Security Яниром Царими, которая обнаружила ее, позволила злоумышленнику украсть токены аутентификации Managed Identities других клиентов Azure с внутреннего сервера, который управляет песочницами других пользователей.
«Кто-то со злыми намерениями мог постоянно захватывать токены и с каждым токеном расширять атаку на большее количество клиентов Azure», — сказал Янир Царими .
«Эта атака может означать полный контроль над ресурсами и данными, принадлежащими целевой учетной записи, в зависимости от разрешений, назначенных клиентом.
«Мы обнаружили, что крупные компании находятся в зоне риска (в том числе глобальная телекоммуникационная компания, два производителя автомобилей, банковский конгломерат, большая четверка аудиторских фирм и другие)».
Нет доказательств эксплуатации в дикой природе
Учетные записи службы автоматизации Azure, затронутые этой уязвимостью, включают учетные записи с включенной функцией управляемого удостоверения (включена по умолчанию, согласно Царими).«Учетные записи автоматизации, использующие гибридную рабочую роль автоматизации для выполнения и/или учетные записи запуска от имени автоматизации для доступа к ресурсам, не пострадали», — заявили в Microsoft .
Microsoft исправила брешь в системе безопасности 10 декабря, заблокировав доступ к токенам аутентификации для всех песочниц, кроме той, к которой имелся законный доступ, через четыре дня после того, как Царими сообщил о своем обнаружении в Центр реагирования Microsoft Security Response Center (MSRC).
Сегодня компания публично раскрыла уязвимость, заявив, что не нашла доказательств того, что токены Managed Identities использовались не по назначению или AutoWarp использовался в атаках.
Корпорация Майкрософт уведомила всех затронутых клиентов службы автоматизации Azure и рекомендовала следовать рекомендациям по обеспечению безопасности, изложенным здесь .
В декабре Редмонд устранил еще одну ошибку Azure (названную NotLegit ), которая позволяла злоумышленникам получать доступ к исходному коду клиентских веб-приложений Azure.
Bleeping computer
