Как стать автором
Обновить

Уязвимость в Azure Automation давала доступ к чужим учетным записям Azure

Время на прочтение 1 мин
Количество просмотров 1K

Специалисты Microsoft и Orca Security рассказали об уязвимости в сервисе Azure Automation, которая давала злоумышленникам возможность получать несанкционированный доступ к чужим учетным записям пользователей Azure. В итоге они устанавливали полный контроль над чужими ресурсами и данными в зависимости от привилегий атакуемых учеток.

Уязвимость AutoWarp обнаружил исследователь безопасности Orca Security Янир Царими в декабре 2021 года, спустя сутки Microsoft исправила ее. Все затронутые крупные компании были уведомлены о ней и должны были установить исправление.

Уязвимости, в частности, были подвержены учетные записи Azure Automation, использовавшие для авторизации токены Managed Identities, которые включены по умолчанию, а также Azure Sandbox для запуска и выполнения. 

Microsoft не обнаружила никаких подтверждений того, что токены использовались злоумышленниками.

Задание автоматизации Azure может получить токен Managed Identities для доступа к ресурсам Azure, а возможности доступа токена определяются в Managed Identity. Из-за уязвимости пользователь, который запускал задачу автоматизации Azure Sandbox, мог получать токены Managed Identities другой задачи автоматизации и таким образом завладеть чужими ресурсами.

Уязвимость не затрагивает учетные записи, использующие Automation Hybrid для выполнения, и/или учетные записи Automation Run-As для доступа к ресурсам.

Microsoft заблокировала доступ к токенам Managed Identities всем средам песочницы за исключением той, у которой есть легитимный доступ.

Теги:
Хабы:
+5
Комментарии 1
Комментарии Комментарии 1

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн
PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн