Bazı Azure yerleşik rolleri gereğinden fazla izin (`*/read`) vererek tüm kaynakları okunabilir hale getiriyor.
Araştırmacılar Azure API’sindeki bir hatayı keşfederek VPN Ağ Geçidi için ön paylaşımlı anahtarı GET isteğiyle sızdırabiliyor.
Bu iki zafiyet kombinasyonu, düşük ayrıcalıklı bir kullanıcının hem bulut kaynaklarına hem de şirket içi ağa erişim elde etmesine imkan tanıyor.
Microsoft, fazla ayrıcalıklı rolleri düzeltmek yerine dokümantasyonu güncelleyerek düşük önemli olarak sınıflandırdı ancak VPN zafiyetini `Microsoft.Network/connections/sharedKey/action` izni isteyerek düzeltti.
Kuruluşlara önerilen önlemler arasında sorunlu rolleri kullanmamak, izinleri özel rollere sınırlamak ve kapsamları daraltmak yer alıyor.
Get notified when new stories are published for "🇹🇷 Hacker News Türkçe"