Mehrere Azure-Built-in-Rollen sind überprivilegiert und gewähren unerwartete Lesezugriffe auf alle Ressourcen.
Zehn Azure-Rollen enthalten versehentlich die allgemeine */read*-Berechtigung und widersprechen damit ihrer Rollenbeschreibung.
Angreifer mit rein schreibgeschützten Identitäten können Quellcode und Umgebungsvariablen auslesen und so Anmeldeinformationen stehlen.
Durch eine API-Falschimplementierung via GET können VPN Gateway Pre-shared Keys ausgelesen werden.
Eine kombinierte Angriffskette erlaubt es einem schwachen Nutzer, interne Cloud-Assets und On-Premise-Netzwerke zu kompromittieren.
Microsoft hat die überprivilegierten Rollen nicht behoben, sondern nur die Dokumentation angepasst.
Die VPN-PSK-Lücke wurde als wichtig eingestuft und durch Einführung der spezifischen Berechtigung Microsoft.Network/connections/sharedKey/action behoben.
Empfohlene Gegenmaßnahmen umfassen feingranulare benutzerdefinierte Rollen, beschränkte Rollenzuweisungen und regelmäßige Überprüfung der Berechtigungen.
Get notified when new stories are published for "🇩🇪 Hacker News Deutsch"