微软修复Azure云严重漏洞，可用于泄露客户数据 -





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

数据合规中的数据分类分级

2025-08-07

7项网络安全国家标准获批发布

2025-08-06

关键信息基础设施商用密码使用管理规定

2025-07-25

数据保护与应用合规体系建设研究

2025-07-24

重新定义XDR市场的6个关键趋势

2025-07-23

微软修复Azure云严重漏洞，可用于泄露客户数据

发布时间：2022-03-08 阅读次数： 240 次

微软修复了Azure 自动化服务中的一个漏洞，可导致攻击者完全控制其它Azure 客户的数据。

微软 Azure 自动化服务提供进程自动化、配置管理和更新管理特性服务，每个Azure 客户的每个预定任务都在隔离的沙箱中运行。

该漏洞由 Orca Security 公司的云安全研究员Yanir Tsarimi 发现并被命名为 “AutoWarp”。攻击者可利用该漏洞从管理其它用户沙箱的内部服务器中窃取其它Azure 客户的管理身份认证令牌。他指出，“具有恶意意图的人员本可继续抓取令牌，并利用每个令牌攻击更多的Azure客户。根据客户分配权限的情况，这种攻击可导致目标账户的资源和数据被完全控制。我们发现很多大公司都受影响，包括一家跨国电信公司、两家汽车制造商、一家银行企业集团、四家会计事务所等等。”

无在野利用证据

受该漏洞影响的Azure 自动化账户包括启用了管理身份特性的账户（Tsarimi 指出，默认为启用状态）。

微软表示，“使用自动化Hybrid工人进行执行和/或自动化Run-As账户访问资源的自动化账户并不受影响。”

2021年12月10日，在漏洞报告第五天，微软拦截除合法访问权限以外的对所有沙箱的认证令牌的访问权限。

微软于今天披露该漏洞，并表示并未发现管理身份令牌遭滥用或AutoWarp遭利用的证据。微软已通知所有受影响 Azure自动化服务客户并推荐采取相关安全最佳实践。

另外，2021年12月，微软还修复了另外一个 Azure 漏洞（被称为”NotLegit”），攻击者可利用该漏洞获得访问客户 Azure web应用源代码的访问权限。

本文来自安全内参，如有侵权联系删除

上一条：小心，黑客已把勒索目标对准VC和PE
下一条：东欧大型加油站遭勒索攻击，官网、APP等全部下线