微軟本周公告已完成修補Azure中一個能讓攻擊者存取,甚至接管其他Azure租戶的漏洞。
這個漏洞存在於Azure Automation服務中,由安全廠商Orca Security去年12月發現並通報微軟。
Azure Automation負責程式自動化執行、系統更新、組態管理,管理員可用它來執行工作排程,下指令、並掌握營運狀況等。Azure一家客戶的自動化程式碼只會在單一沙箱中執行,不影響同一臺機器其他客戶的程式碼執行作業。但安全廠商發現名為AutoWarp的重大漏洞,可讓攻擊者經由Azure Automation查詢到授權用的身分令牌(token)。攻擊者可利用此令牌存取其他Azure客戶帳號的沙箱,視客戶設定的權限而定,開採該漏洞可導致攻擊者接管其他租戶的資源及資料。
研究人員發現受到AutoWarp影響的客戶,包括一家全球電信業者、2家汽車製造商、銀行集團及四大會計顧問公司之一等。
在12月獲得通報後,微軟已在12月10日修補該漏洞。微軟表示,經調查,沒有證據顯示外洩的令牌遭到濫用。
熱門新聞
2024-11-25
2024-11-29
2024-11-15
2024-11-15
2024-11-28
2024-11-25
Advertisement