Bug Azure ‘AutoWarp’ mengizinkan akses akun yang tidak sah – Cloud – Keamanan
Technology

Bug Azure ‘AutoWarp’ mengizinkan akses akun yang tidak sah – Cloud – Keamanan

Kerentanan kritis dalam Layanan Otomatisasi Azure Microsoft membuat penyewa cloud lain terbuka terhadap serangan yang dapat mengambil kendali penuh atas data dan sumber daya mereka, menurut temuan peneliti keamanan.

Vendor keamanan Orca Security, yang menamakan kerentanan AutoWarp, mengatakan kelemahan tersebut menempatkan perusahaan besar di sektor telekomunikasi, manufaktur mobil, perbankan dan akuntansi dalam risiko.

Kerentanan terletak dalam Layanan Otomatisasi Azure, yang memungkinkan pelanggan cloud menjalankan pekerjaan terjadwal dengan input dan output yang disediakan di dalam kotak pasir yang akan mengisolasi mereka dari kode pelanggan lain yang dieksekusi pada mesin virtual yang sama.

Orca Security menemukan cara untuk berinteraksi dengan server Azure internal yang mengelola kotak pasir untuk pelanggan lain, memungkinkan peneliti untuk menangkap token akses identitas terkelola.

Dengan token di tangan, adalah mungkin untuk menyerang dan membahayakan pelanggan Azure lainnya.

Sebuah skrip sederhana yang membuat permintaan protokol transfer hyper-text ke port protokol kontrol transmisi bernomor di atas 40.000 memungkinkan Orca untuk menangkap token akses.

Bug tersebut dilaporkan ke Microsoft oleh Orca, dan diperbaiki awal Desember tahun lalu dengan pelanggan diberi tahu.

Microsoft memperbaiki kerentanan dengan meminta bidang X-IDENTITY-HEADER untuk permintaan HTTP yang disebutkan di atas, yang berisi nilai rahasia yang ditetapkan dalam variabel lingkungan pelanggan.

Pada tahap ini, Microsoft mengatakan belum mendeteksi penyalahgunaan identitas terkelola untuk Azure.

Posted By : pengeluaran hk hari ini 2021