Microsoft, Bilgisayar Korsanlarının Olası Kötüye Kullanımı Konusunda Uyardı


10 Haziran 2024Haber odasıBulut Güvenliği / Güvenlik Açığı

Güvenlik Açığı

Microsoft, Azure Hizmet Etiketlerinin kötü niyetli aktörler tarafından güvenilir bir hizmetten gelen istekleri taklit etmek ve güvenlik duvarı kurallarını aşmak ve böylece bulut kaynaklarına yetkisiz erişim elde etmelerine olanak sağlamak amacıyla kötüye kullanılması olasılığı konusunda uyarıyor.

Microsoft Güvenlik Yanıt Merkezi (MSRC) geçen hafta yayınlanan bir kılavuzda “Bu durum, hizmet etiketlerinin gelen ağ trafiğini incelemek için tek bir mekanizma olarak kullanılmasının doğasında var olan riski vurgulamaktadır” dedi.

“Hizmet etiketleri bir güvenlik sınırı olarak ele alınmamalıdır ve yalnızca doğrulama kontrolleriyle birlikte bir yönlendirme mekanizması olarak kullanılmalıdır. Hizmet etiketleri, müşterinin kaynağına giden trafiği güvence altına almanın kapsamlı bir yolu değildir ve güvenlik açıklarını önlemek için giriş doğrulamanın yerini almaz. bu web istekleriyle ilişkili olabilir.”

Siber güvenlik

Açıklama, güvenlik duvarı kuralları Azure Hizmet Etiketlerine dayanan Azure müşterilerinin atlanabileceğini tespit eden siber güvenlik firması Tenable’ın bulgularına yanıt olarak geldi. Bu özelliğin vahşi ortamda istismar edildiğine dair hiçbir kanıt yok.

Sorun, özünde, bazı Azure hizmetlerinin bir hizmet etiketi aracılığıyla gelen trafiğe izin vermesi ve potansiyel olarak bir kiracıdaki bir saldırganın, yapılandırıldığı varsayılarak başka bir kiracıdaki kaynaklara erişmek için özel hazırlanmış web istekleri göndermesine izin vermesi gerçeğinden kaynaklanmaktadır. hizmet etiketinden gelen trafiğe izin verir ve kendi başına herhangi bir kimlik doğrulaması gerçekleştirmez.

10 Azure hizmetinde güvenlik açığı tespit edildi: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Yük Testi, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer ve Azure Kaos Stüdyosu.

Tenable araştırmacısı Liv Matan, “Bu güvenlik açığı, bir saldırganın sunucu tarafı istekleri kontrol etmesine ve böylece güvenilir Azure hizmetlerinin kimliğine bürünmesine olanak tanıyor” dedi. “Bu, saldırganın, Azure müşterilerinin dahili varlıklarına, verilerine ve hizmetlerine genel erişimi engellemek için sıklıkla kullanılan Hizmet Etiketlerine dayalı ağ kontrollerini atlamasına olanak tanıyor.”

Ocak 2024’ün sonlarında yapılan açıklamaya yanıt olarak Microsoft, belgeleri “Hizmet Etiketleri tek başına, hizmetin niteliği ve gönderdiği trafik dikkate alınmaksızın trafiğin güvenliğini sağlamak için yeterli değildir” ifadesini açıkça belirtecek şekilde güncelledi.

Ayrıca müşterilerin hizmet etiketi kullanımlarını gözden geçirmeleri ve hizmet etiketleri için yalnızca güvenilir ağ trafiğinin kimliğini doğrulamak için yeterli güvenlik korkuluklarını benimsediklerinden emin olmaları önerilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link