Zugriff auf fremde Azure-Instanzen war für einige Tage möglich
Quelle: Orca Security

Zugriff auf fremde Azure-Instanzen war für einige Tage möglich

Über den Microsoft Azure Automation Service konnte Ende 2021 auf die Azure-Accounts anderer Kunden zugegriffen werden. Die Lücke ist geschlossen und wurde gemäss Microsoft nicht aktiv ausgenutzt.
8. März 2022

     

Microsoft hat eine kritische Sicherheitslücke namens Auto Warp geschlossen, die es erlaubte, auf Azure-Accounts fremder Unternehmen zuzugreifen. Entdeckt wurde die Lücke von Sicherheitsforschern von Orca Security im Dezember 2021, betroffen waren neben einem global agierenden Telco einige weitere Grossunternehmen aus dem Automobil-, Banking- und Industriesektor.

Der Fehler fand sich im Microsoft Azure Automation Service, mit dem Automatisierungs-Code in Sandboxes ausgeführt wird. Das Problem war, dass die Orca-Forscher auch auf die Sandboxen anderen Kunden zugreifen und an Authentifikations-Tokens anderer Unternehmen gelangen konnten. Wie der zuständige Sicherheitsexperte im Orca-Blog schreibt, habe Microsoft sehr schnell reagiert – nur drei Tage nach Meldung der Lücke wurde der Fix implementiert. Damit sollte die Nutzung des Azure Automation Service nun wieder sicher sein.


Unlängst veröffentlichte Microsoft eine kurze Offenlegung des Falls und bedankte sich beim Entdecker des Fehlers. Laut den Ausführungen wurden die Lücke noch nicht aktiv ausgenutzt. An dieser Stelle gibt es ausserdem weiterführende Sicherheitsanweisungen und Best Practices von Microsoft im Umgang mit dem Azure Automation Service. (win)



Weitere Artikel zum Thema

Microsoft Defender for Cloud jetzt auch für Google Cloud

24. Februar 2022 - Mit Google Cloud unterstützt Microsofts Cloud-Sicherheitslösung Defender for Cloud nach Azure und AWS nun auch den dritten Hyperscaler.

Security-Updates ohne Neustart für Azure-Server dank Microsoft Hotpatching

18. Februar 2022 - Mit dem neuen Feature Hotpatching für Windows Server Azure Edition Core VM können Security-Updates aufgespielt werden, ohne dass ein Server-Neustart notwendig wird.

Microsoft lanciert Cloud for Retail

14. Januar 2022 - Mit der Cloud for Retail hat Microsoft eine branchenspezifische Plattform für den Handel vorgestellt, die auf Basis von Azure, Microsoft 365 oder Dynamics 365 für mehr Effizienz im Handel sorgen soll.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER