Уязвимость в Azure Automation позволяла получать доступ к чужим учетным записям Azure » mogilew.by
 

Уязвимость в Azure Automation позволяла получать доступ к чужим учетным записям Azure

Microsoft Azure Automation Azure уязвимость
Microsoft исправила проблему еще в декабре, но раскрыла только сейчас.
Уязвимость в Azure Automation позволяла получать доступ к чужим учетным записям Azure

Специалисты компании Microsoft и Orca Security раскрыли подробности об опасной уязвимости в сервисе Azure Automation, обеспечивавшей злоумышленникам возможность получать несанкционированный доступ к чужим учетным записям пользователей Azure. Таким образом, злоумышленники могли захватывать полный контроль над чужими ресурсами и данными в зависимости от привилегий атакуемых учетных записей.
Уязвимость, получившая название AutoWarp, была обнаружена исследователем безопасности Orca Security Яниром Царими (Yanir Tsarimi) 6 декабря 2021 года, и 10 декабря Microsoft ее исправила. Подробности о проблеме опубликованы только сейчас, когда все затронутые крупные компании, пользующиеся Azure Automation, были уведомлены о ней и должны были установить исправление.
Уязвимости были подвержены учетные записи Azure Automation, использовавшие для авторизации токены Managed Identities (включены по умолчанию) и Azure Sandbox для запуска и выполнения. Microsoft не обнаружила никаких свидетельств использования токенов злоумышленниками.
Задание автоматизации Azure может получить токен Managed Identities для доступа к ресурсам Azure. Возможности доступа токена определяются в Managed Identity. Из-за уязвимости пользователь, запускавший задачу автоматизации Azure Sandbox, мог получать токены Managed Identities другой задачи автоматизации и тем самым получать доступ к чужим ресурсам.
Уязвимость не затрагивает учетные записи, использующие Automation Hybrid для выполнения, и/или учетные записи Automation Run-As для доступа к ресурсам.
Microsoft исправила проблему 10 декабря 2021 года, заблокировав доступ к токенам Managed Identities всем средам песочницы за исключением той, у которой есть легитимный доступ.

SECURITYLAB.RU
рейтинг: 
  • Не нравится
  • +32
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости
Марков: госСМИ освободились от людей с "идеологической растерянностью"
Будет честно, если человек с мнением, альтернативным государственному, не будет "кормиться из государственного ...

Лукашенко пригласил магистра Мальтийского ордена в Беларусь
По словам президента, Мальтийский орден всегда найдет в Беларуси поддержку конструктивных и созидательных инициатив.

Осторожно грозы: МЧС и Белгидромет предупреждают о непогоде в понедельник
Грозы могут стать причиной возникновения природных пожаров и возгораний в жилых и производственных зданиях.

Шесть боевиков ликвидированы после теракта в Дагестане
Вечером в воскресенье в Дербенте и Махачкале неизвестные люди совершили вооруженные нападения на два православных ...

В конгрессе США осудили обстрел Севастополя
Представитель Республиканской партии предложила представить, что было бы, если Россия обстреляла пляж во Флориде ...

Операция "Багратион": сводка Совинформбюро за 24 июня 1944 года
Территорию современной Беларуси освободили в рамках наступательной операции "Багратион" (иногда ее называют просто ...

Теракт в Дагестане: что известно на данный момент
Вечером в воскресенье в Дербенте и Махачкале неизвестные люди совершили вооруженные нападения на два православных ...

Минское "Динамо" обыграло "Неман" в матче чемпионата Беларуси
В прошлом году столичная и гродненская команды боролись за чемпионство, в новом сезоне оба клуба также преследуют друг ...

Совбез: Беларусь не подталкивает мигрантов к нанесению вреда Польше
Недавно один из мигрантов при попытке пересечь белорусско-польскую границу смертельно ранил польского солдата.

Реконструкцию боя операции "Багратион" показали на Гомельщине
Сегодня исполнилось 80 лет с начала операции "Багратион", которая привела к разгрому немецкой группировки войск "Центр" ...

Медведев прокомментировал произошедшее в Севастополе и Дагестане
Российский политик выразил соболезнования семьям погибших и пожелал скорейшего выздоровления раненым.

Хренин: Беларусь не экономит на вооружении
Республика не гонится за всеми возможными новинками военпрома и, исходя из экономических возможностей государства, ...

Режим КТО введен в Дагестане из-за терактов
По данным МВД российского региона, в Махачкале и Дербенте убиты шесть правоохранителей, а 12 получили ранения.

Минобороны: Беларусь видит заблаговременную подготовку Запада к войне
Военная техника НАТО уже несколько лет дислоцируется в соседних западных государствах, отрабатывая на учениях удары по ...