Beberapa peran bawaan Azure secara tidak sengaja memiliki izin */read yang terlalu luas, sehingga memberi akses baca ke semua sumber daya meski deskripsinya spesifik.
Izin baca berlebih memungkinkan pencurian kredensial skrip dan aplikasi, penemuan data sensitif, serta perencanaan jalur eskalasi dan serangan.
Peneliti menemukan kerentanan API Azure VPN Gateway yang diimplementasikan menggunakan GET, sehingga pre-shared key VPN dapat dibocorkan oleh identitas dengan izin baca.
Rantai serangan memungkinkan pelaku dengan izin terbatas mengakses aset cloud internal dan jaringan on-premises via VPN site-to-site hanya dengan kunci yang bocor.
Microsoft hanya memperbarui dokumentasi untuk sepuluh peran over-privileged dan menolak memperbaiki izin, tetapi memperbaiki kebocoran kunci VPN dengan menambahkan izin khusus.
Rekomendasi mitigasi meliputi audit penggunaan peran bermasalah, pembatasan scope assignment, dan pembuatan peran kustom dengan izin minimal yang dibutuhkan.
Get notified when new stories are published for "🇮🇩 Hacker News Bahasa Indonesia"