Flere innebygde Azure-roller er misconfigurerte og gir generelle lesetillatelser («*/read») utover det brukerne forventer.
Feilen finnes i minst ti innebygde roller som utilsiktet tillater lesing av alle ressurser.
En svak identitet med lesetilgang kan utnytte disse rollene til å hente sensitiv informasjon.
En API-implementeringsfeil (GET i stedet for POST) tillot lesetilgang til VPN Gateway pre-shared key.
Kombinasjonen av overprivilegierte roller og VPN-nøkkellekkasje gir angripere tilgang til interne og on-premise nettverk.
Microsoft oppdaterte dokumentasjon for de overprivilegerte rollene og utstedte en fiks for VPN-nøkkellekkasjen ved å kreve ny tillatelse.
Organisasjoner bør unngå problematiske roller, bruke begrenset omfang og lage egendefinerte roller med minst nødvendige tillatelser.
Get notified when new stories are published for "🇳🇴 Hacker News Norsk Bokmål"