微軟修補Azure跨租戶訪問漏洞

微軟本周公告已完成修補Azure中一個能讓攻擊者訪問，甚至接管其他Azure租戶的漏洞。

這個漏洞存在于Azure Automation服務中，由安全廠商Orca Security去年12月發(fā)現(xiàn)并通報微軟。

Azure Automation負責程序自動化執(zhí)行、系統(tǒng)更新、組態(tài)管理，管理員可用它來執(zhí)行工作調(diào)度，下指令、并掌握運營狀況等。Azure一家客戶的自動化程序代碼只會在單一沙箱中執(zhí)行，不影響同一臺機器其他客戶的程序代碼執(zhí)行作業(yè)。但安全廠商發(fā)現(xiàn)名為AutoWarp的重大漏洞，可讓攻擊者經(jīng)由Azure Automation查詢到授權(quán)用的身份令牌（token）。攻擊者可利用此令牌訪問其他Azure客戶賬號的沙箱，視客戶設(shè)置的權(quán)限而定，開采該漏洞可導致攻擊者接管其他租戶的資源及資料。

研究人員發(fā)現(xiàn)受到AutoWarp影響的客戶，包括一家全球電信企業(yè)、2家汽車制造商、銀行集團及四大會計顧問公司之一等。

在12月獲得通報后，微軟已在12月10日修補該漏洞。微軟表示，經(jīng)調(diào)查，沒有證據(jù)顯示外泄的令牌遭到濫用。