微软发布关于 Azure 自动化中的关键安全漏洞的公告_科技分享

微软发布关于 Azure 自动化中的关键安全漏洞的公告

admin

2023-07-31 15:15:17

0次

虽然网络安全是一个动态发展的领域，威胁参与者和防御者本质上是相互竞争，但当您的产品存在攻击者可以轻松利用的安全漏洞时，它就无济于事。这在微软之前就发生过Azure CosmosDB 中的一个主要设计缺陷多年来一直暴露客户数据，今天，该公司披露了另一个类似漏洞的详细信息，该漏洞现已修复。

1646720658_1621920146_azure_at_build_2021_2a_-_security_story

Azure 自动化服务中的漏洞是由 Orca Security 发现的，虽然您可以在此处找到所有细节，但问题的症结在于安全漏洞启用了未经授权的跨帐户访问。

如果用户在 Azure 沙盒中运行 Azure 自动化作业，他们也可以利用该漏洞来访问其他人的托管身份令牌。这些令牌用于获得对 Azure 资源的访问权限，因此理论上，获得令牌访问权限的人可以提升整个受影响帐户的权限。

Orca Security 于 2021 年 12 月 6 日发现此漏洞并私下向微软报告名称为“AutoWarp”。它指出，几家使用 Azure 的大公司被曝光，包括一家全球电信公司、两家汽车制造商、会计师事务所和一家银行集团。微软12 月 10 日修补了该问题，然后花了一些时间来评估其影响和相关变体。然后，在 2022 年 3 月 7 日，该漏洞被公开披露。

微软强调它没有发现令牌被滥用的证据。使用 Automation Hybrid 工作人员执行执行和使用 Automation Run-As 帐户进行资源访问的客户不受影响，但公司已通知所有受影响的人。展望未来，该公司已建议 Azure 自动化用户遵循此处详述的安全准则。

漏洞信息安全网络安全 Azure

上一篇：英特尔 Agilex M 系列 FPGA 提供最高内存带宽，旨在进行加密挖掘

下一篇：下一代 iPad Air 将获得 M1 处理器和 5G 连接

微软发布关于 Azure 自动化中的关键安全漏洞的公告

相关内容

热门资讯