《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業界動態 > 微軟修復Azure云嚴重漏洞,可用于泄露客戶數據

微軟修復Azure云嚴重漏洞,可用于泄露客戶數據

2022-03-18
來源:互聯網安全內參
關鍵詞: 微軟 Azure云

  微軟修復了Azure 自動化服務中的一個漏洞,可導致攻擊者完全控制其它Azure 客戶的數據。

  微軟 Azure 自動化服務提供進程自動化、配置管理和更新管理特性服務,每個Azure 客戶的每個預定任務都在隔離的沙箱中運行。

  該漏洞由 Orca Security 公司的云安全研究員Yanir Tsarimi 發現并被命名為 “AutoWarp”。攻擊者可利用該漏洞從管理其它用戶沙箱的內部服務器中竊取其它Azure 客戶的管理身份認證令牌。他指出,“具有惡意意圖的人員本可繼續抓取令牌,并利用每個令牌攻擊更多的Azure客戶。根據客戶分配權限的情況,這種攻擊可導致目標賬戶的資源和數據被完全控制。我們發現很多大公司都受影響,包括一家跨國電信公司、兩家汽車制造商、一家銀行企業集團、四家會計事務所等等。”

  無在野利用證據

  受該漏洞影響的Azure 自動化賬戶包括啟用了管理身份特性的賬戶(Tsarimi 指出,默認為啟用狀態)。

  微軟表示,“使用自動化Hybrid工人進行執行和/或自動化Run-As賬戶訪問資源的自動化賬戶并不受影響。”

  2021年12月10日,在漏洞報告第五天,微軟攔截除合法訪問權限以外的對所有沙箱的認證令牌的訪問權限。

  微軟于今天披露該漏洞,并表示并未發現管理身份令牌遭濫用或AutoWarp遭利用的證據。微軟已通知所有受影響 Azure自動化服務客戶并推薦采取相關安全最佳實踐。

  另外,2021年12月,微軟還修復了另外一個 Azure 漏洞(被稱為“NotLegit”),攻擊者可利用該漏洞獲得訪問客戶 Azure web應用源代碼的訪問權限。




微信圖片_20220318121103.jpg

本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。
主站蜘蛛池模板: 国产人成午夜免视频网站 | 亚洲第一区香蕉_国产a | 久青草免费视频 | 国产免费高清在线精品一区 | 欧美日韩亚洲一区二区三区在线观看 | 精品欧美成人bd高清在线观看 | 欧美日韩亚洲成色二本道三区 | 亚洲第一色网 | 久久久网站亚洲第一 | 国产精品99r8免费视频2022 | 国产精品久久久久久一级毛片 | 国产精品夫妇久久 | 久久福利青草免费精品 | 成 人 a v免费视频 | 色综合美国色农夫网 | 亚洲加勒比 | 国内主播福利视频在线观看 | 国产在线日韩在线 | 国内精品伊人久久久久妇 | 一区二区三区在线 | 日本 | 国产一区亚洲欧美成人 | 成人黄色免费 | 中国女人真人一级毛片 | 日韩在线播放中文字幕 | 欧美国产亚洲一区 | 亚洲一区二区三区久久久久 | 国产成人午夜 | 亚洲免费小视频 | 极品美女一级毛片 | 香蕉视频黄在线观看 | 黄色三级三级三级免费看 | 黄a视频 | 欧美三级色 | 久久成人a毛片免费观看网站 | 国产成人精选免费视频 | 亚洲最新 | 在线看国产视频 | 国产老鸭窝毛片一区二区 | 国产激情一区二区三区在线观看 | 91久久香蕉国产线看观看软件 | 国产99视频精品免视看7 |