A vulnerabilidade afeta mais de 10 serviços do Azure e não será corrigida, a Microsoft não planeja emitir um patch para essa vulnerabilidade
Hoje, a Tenable, empresa de gerenciamento de exposição, divulgou que sua Tenable Cloud Research Team descobriu uma vulnerabilidade de alta gravidade no Azure que afeta mais de 10 serviços, incluindo Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure API Management e Azure Logic Apps.
A Microsoft não planeja emitir um patch para essa vulnerabilidade. Em vez disso, foi criada documentação centralizada para informar os clientes sobre os padrões de uso de tags de serviço.
A vulnerabilidade permite que um invasor mal-intencionado contorne regras de firewall baseadas em tags de serviço do Azure, forjando solicitações de serviços confiáveis.
Um agente de ameaça pode explorar tags de serviço que foram permitidas por meio do firewall de um usuário se não houver controles de validação adicionais.
Ao explorar esta vulnerabilidade, um invasor pode obter acesso ao serviço Azure de uma organização e a outros serviços internos e privados.
“Essa vulnerabilidade permite que um invasor controle solicitações forjadas no servidor, fazendo se passar por serviços confiáveis do Azure”, explica Liv Matan, engenheiro sênior de Pesquisa da Tenable.
“É altamente recomendável que os clientes tomem medidas imediatas. Ao garantir que uma autenticação de rede forte seja mantida, os usuários podem se defender com uma camada adicional e crucial de segurança.”
Os clientes do Azure cujas regras de firewall dependem das Tags de Serviço para segurança estão em risco com esta vulnerabilidade e devem tomar medidas imediatas para mitigar o problema e garantir que estarão protegidos por camadas robustas de autenticação e autorização.
Dispositivos inteligentes dão fim aos manuais de instrução
Ploomes incrementa processo de segurança com curadoria da Delfia
Especialista em inteligência policial analisa o uso das câmeras corporais
Dia Mundial do Meio Ambiente: conheça projetos que usam IA na preservação ambiental
O maior portal sobre identificação digital do Brasil agora também fala sobre tecnologias que protegem e movem empresas! Conheça nossa coluna Tech!
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.
