![Microsoft Azure ‘AutoWarp’ Hatası Saldırganların Müşterilerin Hesaplarına Erişmesine İzin Verebilir](https://kilalu.blog/news/2024-07-29-21:08/Microsoft Azure ‘AutoWarp’ Hatası Saldırganların Müşterilerin Hesaplarına Erişmesine İzin Verebilir.jpg)
Microsoft’un şu anda ele alınan kritik bir güvenlik açığıyla ilgili ayrıntılar açıklandı. Azure Otomasyonu diğer Azure müşteri hesaplarına yetkisiz erişime izin verebilecek ve denetimi devralabilecek hizmet.
Orca Security araştırmacısı Yanir Tsarimi, “Bu saldırı, müşteri tarafından atanan izinlere bağlı olarak, hedeflenen hesaba ait kaynaklar ve veriler üzerinde tam kontrol anlamına gelebilir.” dedim Pazartesi günü yayınlanan bir raporda.
İsrail bulut altyapısı güvenlik şirketi, kusurun potansiyel olarak isimsiz bir telekomünikasyon şirketi, iki otomobil üreticisi, bir bankacılık holdingi ve dört büyük muhasebe firması da dahil olmak üzere birçok kuruluşu riske attığını da sözlerine ekledi.
Azure Otomasyonu hizmeti izin verir Azure ve Azure dışı ortamlarda tanımlı bir bakım penceresi içinde süreç otomasyonu, yapılandırma yönetimi ve işletim sistemi güncellemelerinin işlenmesi için.
dublajlı “Otomatik Çarpıtma,” sorun, Azure Otomasyonu hizmetinin tüm kullanıcılarını etkiler. Yönetilen Kimlik özelliği açıldı. Bu özelliğin varsayılan olarak etkin olduğunu belirtmekte fayda var. 6 Aralık 2021’deki sorumlu açıklamanın ardından sorun, 10 Aralık 2021’de gönderilen bir yamayla giderildi.
![Microsoft Azure Microsoft Azure](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2022/03/Microsoft-Azure-AutoWarp-Hatasi-Saldirganlarin-Musterilerin-Hesaplarina-Erismesine-Izin-Verebilir.gif)
Microsoft Güvenlik Yanıt Merkezi (MSRC) “Yetkilendirme için Yönetilen Kimlik belirteçlerini ve iş çalıştırma zamanı ve yürütme için bir Azure Korumalı Alanı kullanan Azure Otomasyon hesapları açığa çıktı” dedim Bir açıklamada. “Microsoft, belirteçlerin kötüye kullanıldığına dair kanıt tespit etmedi.”
Otomasyon işleri, aynı sanal makinede çalışan diğer kodların erişimini önlemek için bir korumalı alan aracılığıyla izole edilecek şekilde tasarlanırken, güvenlik açığı, Azure Sandbox’ta bir iş yürüten kötü bir aktörün diğerlerinin kimlik doğrulama belirteçlerini elde etmesini mümkün kıldı. otomasyon işleri.
Tsarimi, “Kötü niyetli biri sürekli olarak belirteçleri ele geçirebilir ve her bir belirteçle saldırıyı daha fazla Azure müşterisine genişletebilirdi” dedi.
Açıklama, Amazon Web Services’in (AWS) dublajlı iki güvenlik açığını düzeltmesinden yaklaşık iki ay sonra geldi. Süper yapıştırıcı ve BreakingFormasyon – diğer AWS Glue müşterilerinin verilerine erişmek ve hassas dosyaları sızdırmak için kötüye kullanılmış olabilecek AWS Glue ve CloudFormation platformlarında.
Aralık 2021’de Microsoft, Azure Uygulama Hizmetinde, Eylül 2017’den bu yana en az dört yıl boyunca Java, Node, PHP, Python ve Ruby ile yazılmış müşteri uygulamalarının kaynak kodunun açığa çıkmasına neden olan başka bir güvenlik zayıflığını da çözdü.
Popular Articles
- 28 Jul Her Çalışanın Bilmesi ve İş Hayatında Uygulaması Gereken Tavsiyeler
- 03 Aug Tesadüfen farkettiği yeteneğinin mesleği olmasını istiyor
- 18 Aug İlk Kez Çim Gören Köpeğin Tepkisi
- 31 Jul Sinan Enginden Sosyal Medyayı Sallayan Veli Kavlak Gafı
- 08 Aug TSK: Hakkari’de el yapımı patlayıcının patlaması sonucu 2 asker şehit oldu, 1 asker ise yaralandı - Son Dakika Haberler
Latest Articles
- 10 Aug İlk teslimde 12.000 sayfa baskı imkanı
- 18 Aug 24 Ayar Altın Kaplama iPhone 8 Ön Siparişe Açıldı!
- 26 Jul Çek ve İngiliz Bilim İnsanları: Dünyanın En Güçlü Lazeri Hazır!
- 14 Aug 8 Ülke, Ciddi Yan Etkileri Nedeniyle AstraZenecanın COVID-19 Aşısının Kullanımını Durdurdu
- 05 Aug Yapay Zekadan Şehirlerimizde Bir Tura Çıkmamızı İstedik. Kaos Oldu