Microsoft Azure’un API bağlantı altyapısında kritik bir güvenlik açığı, saldırganların dünya çapında farklı Azure kiracılarında kaynakları tehlikeye atmasını sağladı.
Gulbrandsrud’a 40.000 dolarlık bir ödül ve siyah bir şapka sunum yuvası kazanan kusur, Azure’un Paylaşılan API yönetimi (APIM) örnek mimarisini, anahtar tonozlara, Azure SQL veritabanlarına ve kiracı sınırları arasında JIRA ve Salesforce gibi üçüncü taraf hizmetlerine yetkisiz erişim elde etmek için kullandı.
Güvenlik açığı, Azure’un tüm API bağlantılarının dağıtıldığı küresel olarak paylaşılan APIM örneğine odaklanarak kiracı izolasyonunu aşan bir saldırı yüzeyi oluşturdu.
Key Takeaways
1. Azure's DynamicInvoke endpoint allowed attackers to access other tenants' API Connections.
2. Exploited connections could compromise Key Vaults, databases, and third-party services across Azure tenants.
3. Microsoft patched quickly and paid $40,000 for breaking Azure's tenant isolation model.
Saldırganlar, belgesiz DynamicInvoke uç noktasını manipüle ederek bağlantı sınırlarını geçebilir ve paylaşılan altyapı üzerinde konuşlandırılan API bağlantılarına tam arka uç ayrıcalıklarıyla erişebilir.
Azure’un varsayılan API bağlantı güvenlik açığı
Güvenlik açığının çekirdeği, API bağlantı isteklerini süper ayrıcalıklı jetonlarla işleyen DynamicInvoke uç noktasının Azure Kaynak Yöneticisi’nin (ARM) işlenmesinde yatıyordu.
ARM bir DynamicInvoke isteği aldığında, /apim /desenini kullanarak URL’ler oluşturur.[ConnectorType]/[ConnectionId]/[Action-Endpoint] Yüksek kimlik doğrulama jetonları ile.
Gulbrandsrud, savunmasız bir yol parametresine sahip özel bir mantık uygulama konnektörü oluşturarak saldırganların yol geçirme dizileri enjekte edebileceğini keşfetti.
Araştırmacı bunu bir {yol} parametresi ile basit bir uç nokta tanımlayarak, daha sonra ../../../../ gibi kötü amaçlı girdi sağlayarak gösterdi.[VictimConnectorType]/[VictimConnectionID]/[action].
ARM bu talebi işlediğinde, URL normalleşmesi mağdur bağlantılarına doğrudan erişim sağladı.
Saldırı Azure Anahtar Kasası bağlantısına karşı gösterildi:
Azaltma
Microsoft, 7 Nisan 2025’ten itibaren üç gün içinde güvenlik açığını doğruladı, bir hafta içinde açıklama ve hafifletme uygulandı.
İlk düzeltme, ../ sekansları ve URL kodlu varyantları engellemek için yol parametrelerinde bir kara listenin uygulanmasını içeriyordu.
Bununla birlikte, Gulbrandsrud bu çözümün yetersiz olabileceğini, alternatif yol normalleştirme teknikleri veya doğrudan API bağlantı yolu manipülasyonu yoluyla potansiyel bypass olduğunu düşündürdüğünü belirtti.
Güvenlik açığı, saldıran kiracının API bağlantısına katkıda bulunan düzeyde ayrıcalıklar gerektirerek saldırı yüzeyini ayrıcalıklı kullanıcılarla sınırladı.
Bununla birlikte, küresel kapsam ve kiracılar arası sonuçlar, bunu Azure’un temel kiracı izolasyon modelini etkileyen kritik bir güvenlik sorunu haline getirmiştir.
Microsoft’un önemli ödül ödülü, Azure’un çok kiracılı mimarisini destekleyen paylaşılan altyapı tehlikeye atmanın ciddiyetini yansıtıyor.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →