Уязвимость в Microsoft Azure дарила хакерам облачные сервера

Опубликовано at 18:37
206 0

Появились подробности о еще одной дыре в Microsoft Azure, которую исправили перед новым годом (всем обновляться!). Ее эксплуатация позволяла захватывать контроль над облачными серверами.

Если говорить точнее, то речь идет о двух уязвимостях, которые делали беззащитными перед хакерами компании, использующие для бизнеса мобильные и web-приложения на Azure.

Первая уязвимость позволяла осуществлять спуфинг запросов через программное решение Microsoft Azure Stack для гибридных и облачных вычислений. Неавторизованный злоумышленник мог удаленно получить доступ к скриншотам и конфиденциальной информации о любой виртуальной машине, запущенной в среде Azure. При этом, что важно, не имеет значения, является ли виртуальная машина общей, специально предназначенной или изолированной.

Вторая уязвимость позволяла удаленно выполнить произвольный код и получить контроль над целым сервером Azure через дыру в Azure App Service на Azure Stack.

Обе уязвимости можно было эксплуатировать, создав в Azure Cloud бесплатную учетную запись пользователя и использовав в ней вредоносные функции или отправив неавторизованный HTTP-запрос пользовательскому порталу Azure Stack.

Напомним, по результатам отчета Palo Alto Networks, охватывающего период с января 2018 года по июнь 2019 года, в сервисе Azure Virtual Machine от корпорации Microsoft было найдено 1,7 млн уязвимостей. Тогда же мы писали, что облачные сервисы Microsoft Azure стали любимым хостингом киберпреступников, и ломятся от вредоносного инструментария, от фишинговых шаблонов до вредоносных программ и командных серверов C&C. В прошлом году эксперты выяснили, что Azure не детектирует вредоносные программы, размещенные на серверах Microsoft. Т.е. если загрузить туда вирус, который распознают антивири, он так и будет там бродить. Сейчас ситуация, вероятно, уже исправлена.

Читайте также на АКБ:

Linux-червь заражает инфраструктуру Azure через почтовые сервера

Подписываемся, следим @CyberAgency

Related Post

Призывникам запретят делать селфи, чтобы не выдавать гостайны

Опубликовано - 14.02.2018 0
Минобороны собирается запретить военным пользоваться соцсетями и ограничить им доступ в интернет. Законопроект уже в разработке. Пока выпустили рекомендации. То…