微软本周公告已完成修补Azure中一个能让攻击者访问,甚至接管其他Azure租户的漏洞。
这个漏洞存在于Azure Automation服务中,由安全厂商Orca Security去年12月发现并通报微软。
Azure Automation负责程序自动化执行、系统更新、组态管理,管理员可用它来执行工作调度,下指令、并掌握运营状况等。Azure一家客户的自动化程序代码只会在单一沙箱中执行,不影响同一台机器其他客户的程序代码执行作业。但安全厂商发现名为AutoWarp的重大漏洞,可让攻击者经由Azure Automation查询到授权用的身份令牌(token)。攻击者可利用此令牌访问其他Azure客户账号的沙箱,视客户设置的权限而定,开采该漏洞可导致攻击者接管其他租户的资源及资料。
研究人员发现受到AutoWarp影响的客户,包括一家全球电信企业、2家汽车制造商、银行集团及四大会计顾问公司之一等。
在12月获得通报后,微软已在12月10日修补该漏洞。微软表示,经调查,没有证据显示外泄的令牌遭到滥用。