Microsoft исправила проблему еще в декабре, но раскрыла только сейчас.
Специалисты компании Microsoft и Orca Security раскрыли подробности об опасной уязвимости в сервисе Azure Automation, обеспечивавшей злоумышленникам возможность получать несанкционированный доступ к чужим учетным записям пользователей Azure. Таким образом, злоумышленники могли захватывать полный контроль над чужими ресурсами и данными в зависимости от привилегий атакуемых учетных записей.
Уязвимость, получившая название AutoWarp, была обнаружена исследователем безопасности Orca Security Яниром Царими (Yanir Tsarimi) 6 декабря 2021 года, и 10 декабря Microsoft ее исправила. Подробности о проблеме опубликованы только сейчас, когда все затронутые крупные компании, пользующиеся Azure Automation, были уведомлены о ней и должны были установить исправление.
Уязвимости были подвержены учетные записи Azure Automation, использовавшие для авторизации токены Managed Identities (включены по умолчанию) и Azure Sandbox для запуска и выполнения. Microsoft не обнаружила никаких свидетельств использования токенов злоумышленниками.
Задание автоматизации Azure может получить токен Managed Identities для доступа к ресурсам Azure. Возможности доступа токена определяются в Managed Identity. Из-за уязвимости пользователь, запускавший задачу автоматизации Azure Sandbox, мог получать токены Managed Identities другой задачи автоматизации и тем самым получать доступ к чужим ресурсам.
Уязвимость не затрагивает учетные записи, использующие Automation Hybrid для выполнения, и/или учетные записи Automation Run-As для доступа к ресурсам.
Microsoft исправила проблему 10 декабря 2021 года, заблокировав доступ к токенам Managed Identities всем средам песочницы за исключением той, у которой есть легитимный доступ.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале