此篇文章討論了微軟Azure平台中的兩個安全漏洞,這些漏洞若被攻擊者利用,可能會使企業的敏感資料遭到洩露。這些漏洞分別來自Azure的角色基礎存取控制(RBAC)機制以及Azure API,並由Token Security的研究人員發現。
Azure的RBAC是用來管理權限的機制,讓管理員能夠為不同的使用者、群組或服務主體(service principals)分配特定的角色和權限。然而,研究指出,在Azure內建的400個角色中,有些角色賦予了使用者過高的權限,這些過高的特權被稱為「over-privileged」,這使得某些角色可以讀取本不應該讀取的資料。具體來說,10個Reader角色被賦予了不必要的讀取特權(*/read),例如Log Analytics Reader、Managed Application Contributor Role和App Compliance Automation Reader等角色,這樣的設計可能會讓企業的資料更加暴露於風險之中。第二個漏洞來自Azure API。研究人員發現,Azure API存在設計錯誤,即便用戶只有read-only的權限,透過發送GET請求仍然能取得應該受到保護的敏感資料,如VPN閘道的預共享金鑰(PSK)。這一漏洞使得即便是權限受限的使用者,也有可能輕易地獲得不應該存取的敏感資訊。將這兩個漏洞結合使用,攻擊者可以利用具有過高特權的角色來取得VPN金鑰,並通過建立站對站連線(site-to-site connection)來進入企業內部的網絡,進一步訪問雲端資產或本地部署的網絡。研究人員進一步展示了如何利用Log Analytics Reader角色連接到企業的VPN並發動竊密攻擊,證明了這種漏洞利用的危險性。
研究人員將這兩項漏洞通報給微軟後,微軟對VPN金鑰洩露漏洞進行了修補,並對其風險評估為「重要」,對研究人員發放了7500美元的獎金。然而,對於過度授權的RBAC角色漏洞,微軟則認為這是一個低度嚴重的問題,因此決定不進行修補。儘管如此,研究人員仍然建議企業避免在其環境中使用這10個存在過高特權的角色,以減少潛在的安全風險。
本文揭示了微軟Azure在權限管理和API設計上的兩個重大安全漏洞。雖然微軟已經修補了其中一項漏洞,但另一項漏洞仍然存在,且對於企業而言,可能帶來重大風險。為了保護企業的敏感資料,研究人員建議企業應該密切關注並修正這些安全漏洞,避免使用不必要的高權限角色,並加強對API漏洞的防範。
