Исследователи безопасности в Check Point выявили два основных недостатка безопасности в Microsoft Azure, которые могут быть использованы хакерами для получения доступа к конфиденциальной информации, хранящейся на компьютерах с Azure, или для захвата серверов Azure.
Первый недостаток безопасности был обнаружен в стеке Azure, и в случае его использования хакер получал доступ к скриншотам и другой конфиденциальной информации с компьютеров, работающих под управлением Azure.
Стек Azure — это программное решение для облачных вычислений, разработанное Microsoft для предоставления предприятиям услуг Azure из собственных центров обработки данных. Программный гигант создал Azure Stack, чтобы помочь организациям использовать гибридные облачные вычисления на их собственных условиях, в то же время имея возможность решать деловые и технические вопросы.
Исследователи из Check Point смогли сделать снимки экрана и собрать конфиденциальную информацию об арендаторах Azure и машинах инфраструктуры, воспользовавшись этим недостатком. Однако для того, чтобы хакер смог воспользоваться этой уязвимостью, ему сначала необходимо получить доступ к порталу стека Azure, который позволит им отправлять HTTP-запросы без проверки подлинности.
Недостаток приложения Azure
Обнаруженный Check Point недостаток приложения Azure позволил бы хакеру взять под контроль весь сервер Azure и, следовательно, бизнес-код предприятия.
Служба приложений Azure — это полностью управляемая платформа как услуга (PaaS), которая объединяет веб-сайты Microsoft Azure и другие службы в единую службу, а также добавляет новые возможности, обеспечивающие интеграцию с локальными или облачными системами.
Исследователи Check Point смогли доказать, что хакер может скомпрометировать клиентские приложения, данные и учетные записи, создав бесплатного пользователя в облаке Azure и запустив вредоносные функции Azure.
Компания по безопасности раскрыла недостатки Microsoft, и вместе они работали в тесном контакте, чтобы решить проблемы. Полные исправления для обоих недостатков безопасности были выпущены в конце прошлого года, чтобы предотвратить их использование хакерами.
Источник: