Ruoli Azure Eccessivi e API Vulnerabili

Alcuni ruoli built-in di Azure concedono permessi di lettura generali che superano quanto descritto nelle loro definizioni.

Dieci ruoli di Azure includono erroneamente il permesso */read, permettendo di leggere qualsiasi risorsa del tenant.

Con il permesso */read un utente con basso privilegio può rubare credenziali, scoprire dati sensibili e pianificare attacchi.

È stata individuata una vulnerabilità nell’API Azure che consente di recuperare la chiave pre-condivisa del VPN Gateway tramite richiesta GET.

L’attaccante compromette un’identità debole, estrae la PSK e accede alle reti interne e on-premises attraverso il VPN.

Microsoft ha corretto la fuga della PSK richiedendo un permesso dedicato sharedKey/action, ma non ha risolto i ruoli eccessivamente privilegiati.

Get notified when new stories are published for "🇮🇹 Hacker News Italiano"

No Sign-In needed. One-Click Subscribe.

•

Alcuni ruoli built-in di Azure concedono permessi di lettura generali che superano quanto descritto nelle loro definizioni.

Dieci ruoli di Azure includono erroneamente il permesso */read, permettendo di leggere qualsiasi risorsa del tenant.

Con il permesso */read un utente con basso privilegio può rubare credenziali, scoprire dati sensibili e pianificare attacchi.

È stata individuata una vulnerabilità nell’API Azure che consente di recuperare la chiave pre-condivisa del VPN Gateway tramite richiesta GET.

L’attaccante compromette un’identità debole, estrae la PSK e accede alle reti interne e on-premises attraverso il VPN.

Microsoft ha corretto la fuga della PSK richiedendo un permesso dedicato sharedKey/action, ma non ha risolto i ruoli eccessivamente privilegiati.

Get notified when new stories are published for "🇮🇹 Hacker News Italiano"

No Sign-In needed. One-Click Subscribe.