Уязвимость в Azure Automation позволяла получать доступ к чужим учетным записям Azure

Уязвимость в Azure Automation позволяла получать доступ к чужим учетным записям Azure

Microsoft исправила проблему еще в декабре, но раскрыла только сейчас.

Специалисты компании Microsoft и Orca Security раскрыли подробности об опасной уязвимости в сервисе Azure Automation, обеспечивавшей злоумышленникам возможность получать несанкционированный доступ к чужим учетным записям пользователей Azure. Таким образом, злоумышленники могли захватывать полный контроль над чужими ресурсами и данными в зависимости от привилегий атакуемых учетных записей.

Уязвимость, получившая название AutoWarp, была обнаружена исследователем безопасности Orca Security Яниром Царими (Yanir Tsarimi) 6 декабря 2021 года, и 10 декабря Microsoft ее исправила. Подробности о проблеме опубликованы только сейчас, когда все затронутые крупные компании, пользующиеся Azure Automation, были уведомлены о ней и должны были установить исправление.

Уязвимости были подвержены учетные записи Azure Automation, использовавшие для авторизации токены Managed Identities (включены по умолчанию) и Azure Sandbox для запуска и выполнения. Microsoft не обнаружила никаких свидетельств использования токенов злоумышленниками.

Задание автоматизации Azure может получить токен Managed Identities для доступа к ресурсам Azure. Возможности доступа токена определяются в Managed Identity. Из-за уязвимости пользователь, запускавший задачу автоматизации Azure Sandbox, мог получать токены Managed Identities другой задачи автоматизации и тем самым получать доступ к чужим ресурсам.

Уязвимость не затрагивает учетные записи, использующие Automation Hybrid для выполнения, и/или учетные записи Automation Run-As для доступа к ресурсам.

Microsoft исправила проблему 10 декабря 2021 года, заблокировав доступ к токенам Managed Identities всем средам песочницы за исключением той, у которой есть легитимный доступ.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь