Liam Tung Bidragyder
Liam Tung er en fuldtids freelance teknologijournalist, der skriver for adskillige australske publikationer.
Fuld bio den 8. marts 2022 | Emne: Sikkerhed 
Microsoft har rettet en fejl i Azure Automation-tjenesten, der kunne have givet én kontoejer adgang til en anden kundes konti ved hjælp af den samme tjeneste.
Azure Automation lader kunder automatisere cloud-administrationsopgaver eller -job, opdatere Windows- og Linux-systemer og automatisere andre gentagne opgaver.
Ifølge sikkerhedsfirmaet Orca tillod fejlen, som den rapporterede til Microsoft den 6. december, en potentiel hacker på tjenesten at “få fuld kontrol over ressourcer og data på en målrettet konto, afhængigt af tilladelserne for kontoen.”
SE: Hvad er cloud computing? Alt hvad du behøver at vide om skyen forklaret
Spækhuggerforsker Yanir Tsarimi siger, at den fejl, han fandt, gjorde det muligt for ham at interagere med en intern Azure-server, der administrerer andre kunders sandkasser.
“Det lykkedes os at skaffe godkendelsestokens til andre kundekonti gennem den server. En person med ondsindede hensigter kunne løbende have grebet tokens og med hvert token udvide angrebet til flere Azure-kunder,” forklarer Tasrimi.
Microsoft har præciseret, at kun Azure Automation-konti, der brugte Managed Identities tokens til godkendelse og en Azure Sandbox til jobkørsel og -udførelse, blev afsløret.
Men Orca bemærker også, at funktionen Managed Identities i en automatiseringskonto er aktiveret som standard.
Microsoft siger, at det ikke havde opdaget beviser for, at tokens var blevet misbrugt og har underrettet kunder med berørte Automation-konti.
Ifølge Orca opdagede det den 7. december, at flere store virksomheder var potentielt i fare, herunder “et globalt teleselskab, to bilproducenter, et bankkonglomerat, fire store revisionsfirmaer og mere.”
p>
Microsoft forklarer, at et Azure-automatiseringsjob kan erhverve et Managed Identities-token for at få adgang til Azure-ressourcer. Omfanget af tokenets adgang er defineret i Automation Accounts Managed Identity.
“På grund af sårbarheden kunne en bruger, der kører et automatiseringsjob i en Azure Sandbox, have anskaffet sig Managed Identities-tokens for andre automatiseringsjob, hvilket giver adgang til ressourcer inden for Automation Accounts Managed Identity,” bemærker Microsoft Security Response Center (MSRC).
Azure Automation-konti, der bruger en anden Automation Hybrid-arbejder til udførelse og/eller Automation Run-As-konti til adgang til ressourcer, blev ikke påvirket.
Microsoft afbød problemet den 10. december ved at blokere adgangen til Managed Identities-tokens til alle sandbox-miljøer undtagen det, der havde lovlig adgang, forklarer MSRC.
Cloud
Cloud-sikkerhed i 2022: En virksomhedsguide til vigtige værktøjer og bedste praksis Microsoft Defender for Cloud kommer til Google Cloud De bedste cloud-udbydere sammenlignet: AWS, Azure, Google Cloud og mere Amazon Luna cloud gaming service er nu tilgængelig for alle Cloud Priorities | Sikkerheds-tv | Datastyring | CXO | Datacentre