微軟本周公告已完成修補(bǔ)Azure中一個(gè)能讓攻擊者訪問(wèn),甚至接管其他Azure租戶的漏洞���。
微軟本周公告已完成修補(bǔ)Azure中一個(gè)能讓攻擊者訪問(wèn)�,甚至接管其他Azure租戶的漏洞�。
這個(gè)漏洞存在于Azure Automation服務(wù)中,由安全廠商O(píng)rca Security去年12月發(fā)現(xiàn)并通報(bào)微軟��。
Azure Automation負(fù)責(zé)程序自動(dòng)化執(zhí)行����、系統(tǒng)更新���、組態(tài)管理��,管理員可用它來(lái)執(zhí)行工作調(diào)度��,下指令�����、并掌握運(yùn)營(yíng)狀況等�����。Azure一家客戶的自動(dòng)化程序代碼只會(huì)在單一沙箱中執(zhí)行�����,不影響同一臺(tái)機(jī)器其他客戶的程序代碼執(zhí)行作業(yè)����。但安全廠商發(fā)現(xiàn)名為AutoWarp的重大漏洞,可讓攻擊者經(jīng)由Azure Automation查詢到授權(quán)用的身份令牌(token)�。攻擊者可利用此令牌訪問(wèn)其他Azure客戶賬號(hào)的沙箱,視客戶設(shè)置的權(quán)限而定��,開(kāi)采該漏洞可導(dǎo)致攻擊者接管其他租戶的資源及資料���。
研究人員發(fā)現(xiàn)受到AutoWarp影響的客戶��,包括一家全球電信企業(yè)��、2家汽車(chē)制造商����、銀行集團(tuán)及四大會(huì)計(jì)顧問(wèn)公司之一等。
在12月獲得通報(bào)后�,微軟已在12月10日修補(bǔ)該漏洞。微軟表示�,經(jīng)調(diào)查,沒(méi)有證據(jù)顯示外泄的令牌遭到濫用�����。
立即登錄����,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于十輪網(wǎng)��,本站不擁有所有權(quán)�����,不承擔(dān)相關(guān)法律責(zé)任����。文章內(nèi)容系作者個(gè)人觀點(diǎn)�,不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán)���,請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除���!
閩公網(wǎng)安備 35010202001226號(hào)
