index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
微软Azure云平台RBAC架构存在严重安全漏洞,部分内置角色权限被错误配置为过于宽泛的*/read,允许用户访问敏感元数据。更严重的是,VPN预共享密钥通过GET请求泄露,仅需最低读取权限即可获取,威胁云资源与本地网络安全。微软已修复VPN密钥漏洞,但未限制过度授权角色,提醒用户需主动审计权限配置。
🔐Azure RBAC架构中,部分内置角色如“托管应用读取”和“日志分析读取”被错误配置为*/read权限,远超设定范围,允许访问所有资源敏感元数据。
🌐由于API设计疏漏,VPN预共享密钥通过GET请求获取,攻击者仅需最低读取权限即可获取S2S VPN连接的PSK,可建立恶意连接入侵云资源或本地网络。
🛠️微软将过度授权角色问题定性为“低严重性”,仅更新文档未限制权限,而VPN PSK泄露被认定为“严重”漏洞并迅速修复,凸显权限管理的重要性。
🔧为防范类似威胁,组织应审计并限制过度授权角色使用,改为基于最小必要权限原则创建自定义角色,并将权限范围限制在具体资源或资源组内。
🤝云安全是服务提供商与客户共同责任,此次事件提醒对平台工具盲目信任可能酿成严重后果,需持续监控验证权限配置,防止基于身份的攻击。
带你读懂网络安全
Azure通过HTTP方法区分权限控制。只读操作使用GET,而访问敏感数据则需通过POST请求,但由于设计疏忽,VPN连接的共享密钥竟被设置为通过GET请求获取,从而绕过了应有的安全防护机制,使得被过度授权的最低级别读取权限也能获取VPN PSK。
安全内参7月4日消息,以色列身份安全厂商Token Security安全专家近期开展了一项深入调查,揭示微软Azure云平台RBAC(基于角色的访问控制)架构中存在严重安全漏洞。Azure RBAC是该云平台权限管理的核心机制,允许管理员根据不同的范围(从整个订阅到具体资源)为用户、用户组或服务主体分配具有预定义权限的角色。然而调查发现,多个原本设计用于提供受限、特定服务访问权限的内置角色存在配置错误,其实际权限远远超出设定范围。包括“托管应用读取”和“日志分析读取”在内,有10个角色被错误地授予了过于宽泛的*/read权限,实际上等同于通用的“读取者”(Reader)角色。
图:角色分配这一问题导致用户能够访问所有Azure资源的敏感元数据,权限范围远超这些角色描述所设定的界限。权限的过度授予可能使攻击者得以从自动化账户中提取凭证、绘制网络配置图以辅助后续攻击,并在存储账户或备份保管库中发现关键数据,为权限提升和攻击部署创造有利条件。图:过度授权的三类滥用方式,包括敏感数据发现、凭据窃取、攻击规划
更严重的是,研究人员还发现Azure API中存在一个关键漏洞,仅凭读取权限即可泄露VPN网关的预共享密钥(PSK)。通常,Azure通过HTTP方法区分权限控制。只读操作使用GET,而访问敏感数据则需通过POST请求,以防止未经授权的访问。然而,由于API设计上的疏漏,VPN连接的共享密钥竟被设置为通过GET请求获取,从而绕过了应有的安全防护机制。这一漏洞使得攻击者即便仅拥有最低级别的读取权限(通常由上述过度授权的角色授予),也能够获取站点到站点(S2S)VPN连接的PSK。一旦获取该密钥,恶意行为者便可建立恶意连接,进而未经授权地访问内部云资源、虚拟私有云(VPC)乃至通过Azure VPN网关连接的本地网络。这一漏洞将本应无害的读取权限转变为入侵网络的入口。在云与本地系统深度融合的混合环境中,其后果尤为严重。
漏洞披露后,微软将这些过度授权的内置角色定性为“低严重性”问题,仅选择更新相关文档,而未限制其权限设置,致使组织仍面临角色被滥用的风险。相比之下,VPN PSK泄露问题被认定为“严重”漏洞并迅速修复。现在访问密钥必须具备特定权限(Microsoft.Network/connections/sharedKey/action),同时微软还向漏洞发现者支付了7500美元的漏洞赏金。为防范类似威胁,组织应主动审计并限制上述已识别的过度授权角色的使用,改为基于最小必要权限原则创建自定义角色。同时,应将角色权限范围限制在具体资源或资源组内,而非整个订阅,从而进一步降低潜在风险。云安全是服务提供商与客户共同承担的责任。此次事件再次提醒我们:对平台工具的盲目信任可能酿成严重安全后果。要实现稳健的安全防护,必须持续监控和验证权限配置,防止基于身份的攻击在Azure环境中发生。
点击下方卡片关注我们,带你一起读懂网络安全 ↓
📍发表于:中国 北京
🔗️ 阅读原文
