Algumas funções integradas do Azure estão mal configuradas e incluem permissão genérica de leitura (*/read), tornando-as excessivamente privilegiadas.
A permissão */read permite acesso a código-fonte, variáveis de ambiente e metadados, facilitando roubo de credenciais e descoberta de dados sensíveis.
Identidades com funções supostamente restritas podem enumerar recursos, planejar ataques e escalonar privilégios lendo configurações de rede, chaves e atribuições de função.
Foi descoberta uma vulnerabilidade na API do Azure que expõe a chave pré-compartilhada (PSK) de VPN Site-to-Site via requisição GET, mesmo com permissão apenas de leitura.
Um invasor com identidade fraca pode explorar essa falha para obter a PSK da VPN e se conectar à rede interna da organização.
A Microsoft considerou de baixa severidade as funções excessivamente privilegiadas e apenas atualizou a documentação, mas corrigiu o vazamento da PSK exigindo a permissão Microsoft.Network/connections/sharedKey/action.
Recomenda-se auditar o uso das funções problemáticas, restringir escopos de permissão e criar funções personalizadas com privilégios mínimos.
Get notified when new stories are published for "🇵🇹 Hacker News Português"