Microsoft hat eine kritische Sicherheitslücke namens Auto Warp geschlossen, die es erlaubte, auf Azure-Accounts fremder Unternehmen zuzugreifen. Entdeckt wurde die Lücke von Sicherheitsforschern von Orca Security im Dezember 2021, betroffen waren neben einem global agierenden Telco einige weitere Grossunternehmen aus dem Automobil-, Banking- und Industriesektor.
Der Fehler fand sich im
Microsoft Azure Automation Service, mit dem Automatisierungs-Code in Sandboxes ausgeführt wird. Das Problem war, dass die Orca-Forscher auch auf die Sandboxen anderen Kunden zugreifen und an Authentifikations-Tokens anderer Unternehmen gelangen konnten. Wie der zuständige Sicherheitsexperte im Orca-Blog
schreibt, habe Microsoft sehr schnell reagiert – nur drei Tage nach Meldung der Lücke wurde der Fix implementiert. Damit sollte die Nutzung des Azure Automation Service nun wieder sicher sein.
Unlängst
veröffentlichte Microsoft eine kurze Offenlegung des Falls und bedankte sich beim Entdecker des Fehlers. Laut den Ausführungen wurden die Lücke noch nicht aktiv ausgenutzt.
An dieser Stelle gibt es ausserdem weiterführende Sicherheitsanweisungen und Best Practices von Microsoft im Umgang mit dem Azure Automation Service.
(win)