Wbudowane role Azure mogą zawierać uprawnienia „*/read”, które faktycznie pozwalają na odczyt wszystkich zasobów, choć nazwa i opis sugerują ograniczone prawa.
Co najmniej dziesięć wbudowanych, pozornie specyficznych ról zawiera nadmiarowe uprawnienie do „*/read”, co stwarza ryzyko dla bezpieczeństwa.
Luka w API Azure VPN Gateway umożliwiała odczyt pre-shared key (PSK) przez użytkowników mających tylko uprawnienia do czytania.
Po uzyskaniu klucza PSK atakujący mogą połączyć się z siecią korporacyjną przez VPN, zyskując dostęp do zasobów chmurowych i sieci lokalnej.
Microsoft uznał nadmiarowe role za niskie ryzyko i poprawił jedynie dokumentację, ale załatał wyciek klucza PSK, wprowadzając nowe uprawnienie „sharedKey/action”.
Zalecenia: audyt użycia wadliwych ról, stosowanie ograniczonych zakresów i tworzenie niestandardowych ról z precyzyjnymi uprawnieniami.
Get notified when new stories are published for "🇵🇱 Hacker News Polski"