微软本周公告已完成修补azure中一个能让攻击者访问,甚至接管其他azure租户的漏洞。
这个漏洞存在于azure automation服务中,由安全厂商orca security去年12月发现并通报微软。
azure automation负责程序自动化执行、系统更新、组态管理,管理员可用它来执行工作调度,下指令、并掌握运营状况等。azure一家客户的自动化程序代码只会在单一沙箱中执行,不影响同一台机器其他客户的程序代码执行作业。但安全厂商发现名为autowarp的重大漏洞,可让攻击者经由azure automation查询到授权用的身份令牌(token)。攻击者可利用此令牌访问其他azure客户账号的沙箱,视客户设置的权限而定,开采该漏洞可导致攻击者接管其他租户的资源及资料。
研究人员发现受到autowarp影响的客户,包括一家全球电信企业、2家汽车制造商、银行集团及四大会计顾问公司之一等。
在12月获得通报后,微软已在12月10日修补该漏洞。微软表示,经调查,没有证据显示外泄的令牌遭到滥用。