作為周圍的公司 在過去的十年中,全世界將其數字基礎架構轉變為雲,因為它們從Microsoft等主要雲服務提供商的統一和集成的安全功能中受益。但是,隨著這些系統上的大量騎行,如果出現錯誤的話,可能會大規模帶來嚴重的後果。一個例子:安全研究人員Dirk Jean Molima最近發現了一個 一對弱點 在Microsoft Azure和眼部管理塑料平台上,本來可以用來利用最大的Azure客戶帳戶。
該系統被稱為ENTRA ID,並且每個Azzure Cloud客戶用戶都可以控制登錄,應用程序和訂閱管理工具的控制。 Mollema在深度研究了ID ENTRA安全性,並發表了有關係統弱點的多項研究,這些研究以前被稱為Azure Active Directory。但是在準備 展示 在7月在拉斯維加斯舉行的Black Hat Security會議上,Molima發現他意識到的兩個弱點可用於獲得全球官員的特權 – 主要是上帝的地位 – 並威脅所有Entra ID或所謂的“租戶”。穆里瑪說,這幾乎可以實現世界上每個新婚租戶,也許是政府雲基礎設施。
經營荷蘭安全安全公司的Mullima說:“我不應該真的發生。” “你就像,”不,這不應該發生。 ”“這很糟糕。儘管這很糟糕,但我想說。 ”
“從我的房客那裡 – 我的測試租戶甚至是一個實驗性的租戶 – 您可以要求這些符號,您可以模仿租戶的其他人。” “這意味著您可以調整他人的組成,在該租戶中創建新用戶和官員,並做任何您想做的事情。”
鑑於弱點的嚴重性,莫里馬在7月14日在他發現過失的同一天在微軟安全響應中心透露了他的發現。微軟開始調查當天的結果,並於7月17日發布了世界類改革。該公司Mollema確認該問題已在7月23日之前修復,並於8月採取了其他措施。微軟 CVE發布 對於9月4日的弱點。
Microsoft Microsoft Security Center的副總裁Tom Gallagher在一份聲明中告訴Wire:“我們已經迅速緩解了新近確定的問題,並加速了正在進行的治療工作,以阻止使用該舊協議,這是我們安全未來計劃的一部分。” “我們已經應用了在弱健康驗證邏輯中更改符號,我們測試了改革,並通過雲環境系統應用了符號。”
加拉格哈爾(Gallaghar)說,微軟在調查過程中沒有發現“任何濫用弱點的證據”。
這兩個弱點都與仍在ENTRA ID中工作的舊系統有關。第一個包括一種Azure Mollema身份驗證圖標,被發現是由神秘的Azure機制發行的稱為“訪問控制服務”的女演員的獨特符號。代表的獨特符號包含一些特殊的系統特徵,這些特徵已經意識到了穆爾馬,這些特徵與另外兩次相結合時可能對攻擊者有用。另一個錯誤是歷史Azure Active Directory應用程序中的一個主要缺陷,該應用程序被稱為“圖形”,用於促進對Microsoft 365中存儲的數據的訪問。 Microsoft正在退休。 Microsoft Graph,Entra標識符設計器。該缺陷與Azure AD圖表未能從Azure租戶正確驗證的失敗有關,該請求可以對其進行處理,直到API接受API的代表,該請求應該被拒絕。
