Microsoft vá lỗ hổng truy cập dữ liệu Azure Cross-Tenant

An toàn thông tin - Ngày đăng : 09:50, 24/12/2022

Microsoft đã âm thầm khắc phục một lỗ hổng bảo mật nghiêm trọng trong dịch vụ đám mây Azure Cognitive Search (ACS) sau khi một nhà nghiên cứu cảnh báo dịch vụ này có một tính năng bị lỗi gây ra lỗ hổng truy cập dữ liệu Azure Cross-Tenant.
An toàn thông tin

Microsoft vá lỗ hổng truy cập dữ liệu Azure Cross-Tenant

Hạnh Tâm 24/12/2022 09:50

Microsoft đã âm thầm khắc phục một lỗ hổng bảo mật nghiêm trọng trong dịch vụ đám mây Azure Cognitive Search (ACS) sau khi một nhà nghiên cứu cảnh báo dịch vụ này có một tính năng bị lỗi gây ra lỗ hổng truy cập dữ liệu Azure Cross-Tenant.

Lỗ hổng được các nhà nghiên cứu tại Mnemonic phát hiện, đã loại bỏ hiệu quả toàn bộ mạng và phạm vi nhận dạng đối với các phiên bản ACS bị cô lập trên Internet và cho phép cross-tenant truy cập vào bề mặt dữ liệu của các phiên bản ACS từ bất kỳ vị trí nào, kể cả các phiên bản không có bất kỳ tiếp xúc mạng rõ ràng.

a1.jpg

Theo nhà nghiên cứu Mnemonic Emilien Socchi, lỗ hổng đã được Microsoft âm thầm sửa vào cuối tháng 8/2022, khoảng 6 tháng sau khi nó được báo cáo lần đầu tiên.

Sự khai thác có tên là ACSESSED (truy cập), đã ảnh hưởng đến tất cả các phiên bản ACS bật tính năng “cho phép truy cập từ cổng”.

Nhà nghiên cứu cho cảnh báo: “Khi kích hoạt tính năng đó là khách hàng đã cho phép cross-tenant truy cập một cách hiệu quả vào bề mặt dữ liệu của các phiên bản ACS của họ từ bất kỳ vị trí nào, kể cả các cấu hình của phiên bản sau này, bao gồm những trường hợp chỉ hiển thị trên các điểm cuối riêng lẻ. Chỉ bằng một nút bấm đơn giản, khách hàng có thể bật tính năng dễ bị tấn công, tính năng này đã loại bỏ toàn bộ những gì đã được định cấu hình xung quanh các phiên bản ACS của họ mà không cung cấp bất kỳ nhận dạng nào (nghĩa là bất kỳ ai cũng có thể tạo mã thông báo truy cập hợp lệ cho ARM)).

Nhà nghiên cứu Mnemonic cho biết, Microsoft đã trao được 10.000 USD tiền thưởng và nâng mức rủi ro từ trung bình lên quan trọng do mức rủi ro và khả năng dễ bị khai thác của cross-tenant.

Tại một thời điểm trong quá trình tiết lộ, Microsoft cho biết bản vá bị trì hoãn vì bản sửa lỗi yêu cầu “một sự thay đổi quan trọng ở cấp độ thiết kế”./.

Hạnh Tâm