Microsoft публикует рекомендации о критической дыре в безопасности в Azure Automation

Хотя кибербезопасность — это динамично развивающаяся область, в которой субъекты угроз и специалисты, по сути, соревнуются друг с другом, это не помогает, если ваш продукт имеет бреши в безопасности, которыми злоумышленники могут легко воспользоваться. Это случалось и раньше с Microsoft Azure, где серьезный недостаток дизайна в Azure CosmosDB годами открывал доступ к данным клиентов, и сегодня компания раскрыла подробности о еще одной похожей уязвимости, которую она уже исправила.

Недостаток в службе Azure Automation был обнаружен Orca Security, и, хотя вы можете узнать все подробности здесь, суть дела в том, что дыра в безопасности позволяла получить несанкционированный доступ между учетными записями.

Если пользователь выполнял задание Azure Automation в Azure Sandbox, он мог использовать уязвимость для получения доступа к токенам Managed Identities других людей. Эти токены используются для получения доступа к ресурсам Azure, поэтому теоретически тот, кто получал доступ к токенам, мог повысить свои привилегии во всей затронутой учетной записи.

Orca Security обнаружила этот недостаток 6 декабря 2021 года и сообщила о нем в Microsoft в частном порядке под названием «AutoWarp». Было отмечено, что несколько крупных компаний, использующих Azure, были раскрыты, в том числе глобальная телекоммуникационная компания, два производителя автомобилей, бухгалтерские фирмы и банковский конгломерат. Microsoft исправила проблему 10 декабря, а затем потребовалось еще некоторое время, чтобы оценить ее влияние и связанные с ней варианты. Затем, 7 марта 2022 года, недостаток был публично обнародован.

Компания Microsoft подчеркнула, что не обнаружила никаких доказательств неправомерного использования токенов. Клиенты, использующие Automation Hybrid workers для выполнения и учетные записи Automation Run-As для доступа к ресурсам, не пострадали, но компания уведомила всех, кого это коснулось. В дальнейшем компания рекомендует пользователям Azure Automation следовать рекомендациям по безопасности, которые подробно описаны здесь.

Узнать другие подробности можно здесь.