Microsoft Azure“AutoWarp”漏洞可能让攻击者访问客户帐户

有关Microsoft Azure Automation service中一个现已解决的关键漏洞的详细信息已被披露，该漏洞可能允许未经授权访问其他Azure客户帐户并接管控制权。

Orca安全研究人员Yanir Tsarimi在周一发布的一份报告中说：“此次攻击可能意味着完全控制属于目标帐户的资源和数据，具体取决于客户分配的权限。”。

以色列云基础设施安全公司补充称，该漏洞可能会让多家实体面临风险，其中包括一家未具名的电信公司、两家汽车制造商、一家银行集团和四大会计师事务所。

Azure自动化服务允许跨Azure和非Azure环境在定义的维护窗口内实现流程自动化、配置管理和处理操作系统更新。

被称为“自动扭曲这个问题影响了管理身份特征开启的Azure自动化服务的所有用户。值得注意的是，默认情况下启用了这个功能。在2021年12月6日的负责披露之后，该问题在2021年12月10日推出的补丁中得到了修复。

微软安全响应中心（Microsoft Security Response Center，MSRC）在一份声明中表示：“使用托管身份令牌进行授权、使用Azure沙盒进行作业运行和执行的Azure自动化帐户已被公开。”。“微软没有发现滥用代币的证据。”

虽然自动化作业被设计为通过沙箱隔离，以防止运行在同一虚拟机上的其他代码访问，但该漏洞使在Azure沙箱中执行作业的坏参与者有可能获得其他自动化作业的身份验证令牌。

“有恶意意图的人可能会持续抢夺代币，每一个代币都会将攻击范围扩大到更多Azure客户，”Tsarimi指出。

亚马逊网络服务（AWS）修复了两个漏洞#8211；被称为超级胶和破胶成型–；在AWS Glue和CloudFormation平台中，可能被滥用来访问其他AWS Glue客户的数据和泄漏敏感文件。

2021年12月，微软还解决了Azure应用服务中的另一个安全漏洞，导致了自2017年9月以来，在java、节点、PHP、Python和Ruby中至少四年的客户应用程序源代码的暴露。