聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Mnemonic 公司的研究员发现了该漏洞,它可删除整个网络和围绕互联网隔离的Azure Cognitive Search 实例的身份外围,并可使攻击者从任何位置获得对ACS实例数据层的跨租户访问权限,包括没有任何直接网络暴露的实例。
研究人员指出,微软在2022年8月末悄悄修复了该漏洞,距离提交漏洞报告已过去六个月的时间。该漏洞被称为 “ACSESSED”,影响所有启用了“允许源自门户的访问权限”特征的Azure Cognitive Search 实例。
研究人员提醒称,“启用该特性后,客户实际上可从任何位置获得对ACS实例数据层的跨租户访问权限,而不管后者的实际网络配置情况。它包括唯一包括在私有端点上的实例以及无任何直接网络暴露的实例如用于调查而部署的实例(没有任何私有、服务或公开端点的实例)。只要点击一个按钮,客户就能够打开易受攻击的特性,删除围绕ACS实例配置的整个网络外围,而无需提供任何真实的身份外围(任何人均可为ARM生成一个有效的访问令牌)。”
研究人员表示自己获得1万美元的奖励,而该漏洞的风险等级也因为跨租户风险和易于利用,从“中危”升级到“重要”。微软曾表示,由于修复方案要求“重大的设计层面更改”,因此补丁推迟发布。
https://www.securityweek.com/microsoft-patches-azure-cross-tenant-data-access-flaw
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):微软悄悄修复Azure跨租户数据访问高危漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论