مایکروسافت باگی را در سرویس Automation Azure خود برطرف کرده است که به مهاجم روی سرویس اجازه می‌داد که به منابع و داده‌های سایر کاربران دسترسی داشته باشد.

مایکروسافت باگی را در سرویس Automation Azure برطرف کرده است که می‌توانست به صاحب حساب اجازه دهد با استفاده از همان سرویس به حساب‌های مشتری دیگر دسترسی داشته باشد.

Azure Automation به مشتریان این امکان را می دهد تا وظایف و تسک‌های مدیریت ابری را خودکار کنند، سیستم‌های ویندوز و لینوکس را به روز کنند و سایر کارهای تکراری را خودکار نمایند.

به گفته شرکت امنیتی Orca، باگی که در ۶ دسامبر به مایکروسافت گزارش کرد، به مهاجم بالقوه این سرویس اجازه می‌داد «بر اساس مجوزهای حساب، کنترل کاملی بر منابع و داده‌های یک حساب هدف داشته باشد».

Yanir Tsarimi ، محقق Orca می‌گوید نقصی که پیدا کرد به او اجازه داد تا با سرور داخلی Azure که sandboxهای سایر مشتریان را مدیریت می‌کند، تعامل داشته باشد.

به گفته Tsarimi: «ما موفق شدیم توکن‌های احراز هویت را برای حساب‌های دیگر مشتریان از طریق آن سرور بدست آوریم. شخصی با اهداف مخرب می‌توانست به طور مداوم توکن‌ها را بگیرد و با هر توکن، حمله را به مشتریان Azure بیشتری گسترش دهد.»

مایکروسافت شفافسازی کرده است که فقط حساب‌های Azure Automation که از نشانه‌های Managed Identities برای مجوز و از Azure Sandbox برای زمان اجرا و اجرای کار استفاده می‌کردند، افشا شدند.

با این حال، Orca همچنین خاطرنشان می‌کند که ویژگی Managed Identities در حساب Automation به طور پیش فرض فعال است.

مایکروسافت می‌گوید که شواهدی مبنی بر سوء استفاده از توکن‌ها شناسایی نکرده است و به مشتریانی که حساب‌های Automation آسیب‌دیده دارند، اطلاع رسانی کرده است.

به گفته Orca، در ۷ دسامبر متوجه شد که چندین شرکت بزرگ به طور بالقوه در معرض خطر هستند، از جمله «یک شرکت مخابراتی جهانی، دو سازنده خودرو، یک شرکت بانکی، چهار شرکت بزرگ حسابداری، و غیره.»

مایکروسافت توضیح می‌دهد که یک کار اتوماسیون Azure می‌تواند یک توکن Managed Identities برای دسترسی به منابع Azure بدست آورد. محدوده دسترسی توکن در شناسه مدیریت شده حساب اتوماسیون تعریف شده است.

مرکز پاسخ امنیتی مایکروسافت (MSRC) خاطرنشان می‌کند: «به دلیل آسیب‌پذیری، کاربری که یک کار اتوماسیون را در یک Azure Sandbox اجرا می‌کند، می‌توانست توکن‌های Managed Identities مربوط به کارهای اتوماسیون دیگر را به دست آورد، که امکان دسترسی به منابع موجود در حساب‌ها اتوماسیون Managed Identity را می‌داد.»

حساب‌های Azure Automation که از یک عملگر دیگر Automation Hybrid برای اجرا و یا حساب‌های Automation Run-As  که برای دسترسی به منابع استفاده می‌شوند، تحت تأثیر قرار نگرفتند.

MSRC توضیح می‌دهد که مایکروسافت در ۱۰ دسامبر با مسدود کردن دسترسی به توکن‌های Managed Identities به همه محیط‌های sandbox به جز محیط‌های دارای دسترسی قانونی، از تاثیرات این مشکل جلوگیری به عمل آورد.

اخبار آسیب‌پذی‌ها را از وبسایت آپا بخش آسیب‌پذیری‌ها دنبال کنید.