Специалисты Microsoft и Orca Security рассказали об уязвимости в сервисе Azure Automation, которая давала злоумышленникам возможность получать несанкционированный доступ к чужим учетным записям пользователей Azure. В итоге они устанавливали полный контроль над чужими ресурсами и данными в зависимости от привилегий атакуемых учеток.
Уязвимость AutoWarp обнаружил исследователь безопасности Orca Security Янир Царими в декабре 2021 года, спустя сутки Microsoft исправила ее. Все затронутые крупные компании были уведомлены о ней и должны были установить исправление.
Уязвимости, в частности, были подвержены учетные записи Azure Automation, использовавшие для авторизации токены Managed Identities, которые включены по умолчанию, а также Azure Sandbox для запуска и выполнения.
Microsoft не обнаружила никаких подтверждений того, что токены использовались злоумышленниками.
Задание автоматизации Azure может получить токен Managed Identities для доступа к ресурсам Azure, а возможности доступа токена определяются в Managed Identity. Из-за уязвимости пользователь, который запускал задачу автоматизации Azure Sandbox, мог получать токены Managed Identities другой задачи автоматизации и таким образом завладеть чужими ресурсами.
Уязвимость не затрагивает учетные записи, использующие Automation Hybrid для выполнения, и/или учетные записи Automation Run-As для доступа к ресурсам.
Microsoft заблокировала доступ к токенам Managed Identities всем средам песочницы за исключением той, у которой есть легитимный доступ.
