Все
Истории
Дизайн
Код
Геймдев
Бизнес
Маркетинг
Управление
Кино
Музыка
Проектная фотография
Развитие
Здоровье
Деньги
Образование
EdTech
Корп. обучение
Блог Skillbox
Глоссарий
Спецпроекты
Профориентация
Microsoft пофиксила критическую уязвимость в облачном сервисе Azure Automation
Она позволяла хакерам полностью контролировать все сервисы Azure.
Что случилось? Специалисты из Orca Security обнаружили уязвимость в сервисе Microsoft Azure Automation. Благодаря ей неавторизованные пользователи могут получать доступ к аккаунтам Azure-клиентов и полностью их контролировать. Уязвимость назвали AutoWarp.
И что? Orca Security начала исследование 6 декабря 2021 года и в тот же день отправила отчёт в Microsoft. А на следующий день — 7 декабря — специалисты из Orca Security выяснили, что уязвимость может подвергнуть большие компании серьёзному риску. Список включает международные телекоммуникационные компании, двух производителей автомобилей, банковскую систему, четыре бухгалтерские компании и так далее.
Через несколько дней — 10 декабря — Microsoft исправила проблему и начала изучать потенциальные варианты атак. И только через три месяца — 7 марта 2022 года — она официально рассекретила уязвимость и показала отчёт исследований.
А как это работает? Уязвимость позволяет взаимодействовать с внутренним сервером, который управляет песочницами клиентов Azure. Любой злоумышленник мог получить токены аутентификации к аккаунтам пользователей через такой сервер, а потом использовать их, чтобы запускать вредоносный код и проводить атаки на других пользователей.
Исследователи по безопасности облачных сервисов Янир Тсарими и Йоав Алон из Orca Security в интервью к The Daily Swig сказали:
«Эти токены могут применять при работе с сервисами Azure, чтобы выполнить любую операцию, которую пользователь Azure Automation может себе позволить. Эта уязвимость позволяет хакерам получать полный контроль над ресурсами Azure — например, над виртуальными машинами и/или данными, которые принадлежат пользователям, в зависимости от полномочий конкретного пользователя».
Подробный технический разбор можно посмотреть на сайте Orca Security. По словам представителей Microsoft, применение лучших практик в области безопасности в сервисах Azure Automation позволит избежать проблем с уязвимостями. Эти практики описаны в официальной документации Microsoft.
