Thông tin chi tiết đã được tiết lộ về một lỗ hổng nghiêm trọng hiện đã được giải quyết trong dịch vụ Azure Automation của Microsoft có thể đã cho phép truy cập trái phép vào các tài khoản khách hàng Azure khác và chiếm quyền kiểm soát.
Nhà nghiên cứu Yanir Tsarimi của Orca Security cho biết: “Cuộc tấn công này có thể có nghĩa là toàn quyền kiểm soát tài nguyên và dữ liệu thuộc tài khoản được nhắm mục tiêu, tùy thuộc vào quyền được khách hàng chỉ định”.
Công ty bảo mật cơ sở hạ tầng đám mây Israel cho biết thêm, lỗ hổng này có thể khiến một số thực thể gặp rủi ro, bao gồm một công ty viễn thông giấu tên, hai nhà sản xuất ô tô, một tập đoàn ngân hàng và bốn công ty kế toán lớn, cùng những công ty khác.
Dịch vụ Azure Automation cho phép tự động hóa quy trình, quản lý cấu hình và xử lý các bản cập nhật hệ điều hành trong một cửa sổ bảo trì xác định trên môi trường Azure và không phải Azure.
Được mệnh danh là “AutoWarp“, vấn đề ảnh hưởng đến tất cả người dùng dịch vụ Azure Automation đã bật tính năng Nhận dạng được quản lý. Điều đáng chú ý là tính năng này được bật theo mặc định. Sau tiết lộ có trách nhiệm vào ngày 6 tháng 12 năm 2021, vấn đề đã được khắc phục trong một bản vá được đẩy lên Ngày 10 tháng 12 năm 2021.
“Các tài khoản Azure Automation sử dụng mã thông báo Managed Identities để ủy quyền và Azure Sandbox cho thời gian chạy và thực thi công việc đã bị lộ”, Microsoft Security Response Center (MSRC) cho biết trong một tuyên bố. “Microsoft đã không phát hiện bằng chứng về việc sử dụng sai mã thông báo.”
Trong khi các công việc tự động hóa được thiết kế để cô lập bằng hộp cát để ngăn chặn truy cập bởi mã khác chạy trên cùng một máy ảo, lỗ hổng bảo mật khiến cho một kẻ xấu có thể thực hiện công việc trong Hộp cát Azure để lấy mã xác thực của người khác các công việc tự động hóa.
Tsarimi lưu ý: “Ai đó có ý định xấu có thể liên tục lấy các mã thông báo và với mỗi mã thông báo, mở rộng cuộc tấn công sang nhiều khách hàng Azure hơn.
Tiết lộ được đưa ra gần hai tháng sau khi Amazon Web Services (AWS) sửa hai lỗ hổng – được gọi là Superglue và BreakingFormation – trong nền tảng AWS Glue và CloudFormation có thể đã bị lạm dụng để truy cập dữ liệu của các khách hàng AWS Glue khác và làm rò rỉ các tệp nhạy cảm.
Vào tháng 12 năm 2021, Microsoft cũng đã giải quyết một điểm yếu bảo mật khác trong Dịch vụ ứng dụng Azure dẫn đến việc mã nguồn của các ứng dụng khách hàng được viết bằng Java, Node, PHP, Python và Ruby bị lộ ít nhất bốn năm kể từ tháng 9 năm 2017.
.
