由于Microsoft密码学中的实现错误,潜在的灾难避免了
在Microsoft Azure功能中发现的两个漏洞已被披露,尽管其中一个缺陷的严重性通过一个单独的实现错误缓解了。
上周,研究员保罗“极地”描述了这些漏洞,在2020年底向微软私下向微软报告技术博客文章上个星期。
安全缺陷在Azure功能,按需云设计用于管理应用程序和消息队列,响应数据库更改以及构建基于Web的API的服务。beplay体育能用吗
根据研究员,第一个漏洞是Linux Azure函数实例中的特权升级错误scm_run_from_package环境变量。
While the URL redirects to an Azure Function package, its SAS token had a ‘write’ permission, allowing attackers with code execution privilege over a Function to overwrite the package, tampering with user levels and potentially permitting an attacker to “plant a backdoor which would have run in every Function invocation”.
第二个漏洞是通过从链接到属于的存储空间的URL中提取SAS令牌发现的微软,通过查询连接到Azure函数Azcontainers斑点存储。
这允许不属于用户被查看的加密函数配置。但是,由于它们是加密的,研究人员说,这些配置的下载虽然可能没有实际影响”。
咨询甲骨文
此外,研究人员在功能实例上发现了一个无证件的HTTP端点。最初,他相信这本可以允许的远程代码执行(RCE)将在任意azure函数以及配置解密中实现。
但是,进一步的检查显示,由Microsoft的密码库引起的甲骨文中的加密功能障碍 - 使Oracle无用进行RCE攻击。
研究人员指出:“攻击仍然需要将Oracle(功能URL)与其配置匹配,这可能会限制我成功的攻击影响。”
讲话每日swbeplay2018官网ig,极性强调的是,由于加密代码中的问题,填充错误没有现实世界的影响。但是,功能覆盖问题仍然是“非常严重的”。
他告诉我们:“这意味着任何在功能上执行代码的攻击者都可以覆盖其代码并安装后门(受害者)甚至都不知道它在那里。”
为了解决缺陷,更改了SAS令牌的范围,因此应用程序无法读取不属于它们的加密配置。也启用了令牌限制。
但是,由于甲骨文是不起作用的,因此没有进行任何更改。
微软发言人说,2020年11月发布了修复程序,客户无需采取任何行动来保持保护。
这家技术巨头没有提供错误赏金对于漏洞报告。