Microsoft пофиксила критическую уязвимость в облачном сервисе Azure Automation

Что случилось? Специалисты из Orca Security обнаружили уязвимость в сервисе Microsoft Azure Automation. Благодаря ей неавторизованные пользователи могут получать доступ к аккаунтам Azure-клиентов и полностью их контролировать. Уязвимость назвали AutoWarp.

И что? Orca Security начала исследование 6 декабря 2021 года и в тот же день отправила отчёт в Microsoft. А на следующий день — 7 декабря — специалисты из Orca Security выяснили, что уязвимость может подвергнуть большие компании серьёзному риску. Список включает международные телекоммуникационные компании, двух производителей автомобилей, банковскую систему, четыре бухгалтерские компании и так далее.

Через несколько дней — 10 декабря — Microsoft исправила проблему и начала изучать потенциальные варианты атак. И только через три месяца — 7 марта 2022 года — она официально рассекретила уязвимость и показала отчёт исследований.

А как это работает? Уязвимость позволяет взаимодействовать с внутренним сервером, который управляет песочницами клиентов Azure. Любой злоумышленник мог получить токены аутентификации к аккаунтам пользователей через такой сервер, а потом использовать их, чтобы запускать вредоносный код и проводить атаки на других пользователей.

Исследователи по безопасности облачных сервисов Янир Тсарими и Йоав Алон из Orca Security в интервью к The Daily Swig сказали:

Подробный технический разбор можно посмотреть на сайте Orca Security. По словам представителей Microsoft, применение лучших практик в области безопасности в сервисах Azure Automation позволит избежать проблем с уязвимостями. Эти практики описаны в официальной документации Microsoft.