Verschillende ingebouwde Azure-rollen zijn per ongeluk overbevoegd en geven generieke leesrechten (*/read) die verder gaan dan de omschrijving aangeeft.
Deze fout komt voor in ten minste tien dienstspecifieke rollen, waardoor gebruikers gevoelige configuraties, scripts en broncode kunnen uitlezen.
Dankzij de generieke leesrechten kunnen aanvallers credentials en API-sleutels stelen, netwerktopologieën onderzoeken en aanvalspaden plannen.
Een kwetsbaarheid in de Azure API liet toe om met een GET-verzoek de pre-shared key van een Site-to-Site VPN Gateway op te halen.
Met deze PSK kan een aanvaller zich via de VPN verbinden en toegang krijgen tot interne cloud- en on-premises netwerken.
Microsoft noemde de overbevoegde rollen laag risico en paste alleen de documentatie aan, maar repareerde de VPN-sleutellek als een belangrijke kwetsbaarheid.
Aanbevelingen zijn het vermijden van problematische rollen, het beperken van rolscopes en het aanmaken van fijnmazige custom rollen.
Get notified when new stories are published for "🇳🇱 Hacker News Dutch"