微軟修復(fù)了Azure 自動(dòng)化服務(wù)中的一個(gè)漏洞，可導(dǎo)致攻擊者完全控制其它Azure 客戶的數(shù)據(jù)。

　　微軟 Azure 自動(dòng)化服務(wù)提供進(jìn)程自動(dòng)化、配置管理和更新管理特性服務(wù)，每個(gè)Azure 客戶的每個(gè)預(yù)定任務(wù)都在隔離的沙箱中運(yùn)行。

　　該漏洞由 Orca Security 公司的云安全研究員Yanir Tsarimi 發(fā)現(xiàn)并被命名為 “AutoWarp”。攻擊者可利用該漏洞從管理其它用戶沙箱的內(nèi)部服務(wù)器中竊取其它Azure 客戶的管理身份認(rèn)證令牌。他指出，“具有惡意意圖的人員本可繼續(xù)抓取令牌，并利用每個(gè)令牌攻擊更多的Azure客戶。根據(jù)客戶分配權(quán)限的情況，這種攻擊可導(dǎo)致目標(biāo)賬戶的資源和數(shù)據(jù)被完全控制。我們發(fā)現(xiàn)很多大公司都受影響，包括一家跨國(guó)電信公司、兩家汽車制造商、一家銀行企業(yè)集團(tuán)、四家會(huì)計(jì)事務(wù)所等等?！?/p>

　　無(wú)在野利用證據(jù)

　　受該漏洞影響的Azure 自動(dòng)化賬戶包括啟用了管理身份特性的賬戶（Tsarimi 指出，默認(rèn)為啟用狀態(tài)）。

　　微軟表示，“使用自動(dòng)化Hybrid工人進(jìn)行執(zhí)行和/或自動(dòng)化Run-As賬戶訪問(wèn)資源的自動(dòng)化賬戶并不受影響?！?/p>

　　2021年12月10日，在漏洞報(bào)告第五天，微軟攔截除合法訪問(wèn)權(quán)限以外的對(duì)所有沙箱的認(rèn)證令牌的訪問(wèn)權(quán)限。

　　微軟于今天披露該漏洞，并表示并未發(fā)現(xiàn)管理身份令牌遭濫用或AutoWarp遭利用的證據(jù)。微軟已通知所有受影響 Azure自動(dòng)化服務(wù)客戶并推薦采取相關(guān)安全最佳實(shí)踐。

　　另外，2021年12月，微軟還修復(fù)了另外一個(gè) Azure 漏洞（被稱為“NotLegit”），攻擊者可利用該漏洞獲得訪問(wèn)客戶 Azure web應(yīng)用源代碼的訪問(wèn)權(quán)限。