微軟修復(fù)Azure數(shù)據(jù)訪問(wèn)漏洞 已提醒用戶(hù)盡快升級(jí)

作為預(yù)防措施，微軟已經(jīng)通知了一些客戶(hù)，推薦他們立即更改登錄憑證。在早些時(shí)候的采訪中，Palo Alto 的研究員 Ariel Zelivansky 告訴路透社，他的團(tuán)隊(duì)已經(jīng)能夠突破 Azure 廣泛使用的為用戶(hù)存儲(chǔ)程序的容器系統(tǒng)。
他說(shuō)，Azure 容器使用的代碼沒(méi)有被更新以修補(bǔ)一個(gè)已知的漏洞。因此，Palo Alto 團(tuán)隊(duì)最終能夠完全控制一個(gè)包括其他用戶(hù)的容器的集群。
應(yīng)路透社的要求審查了 Palo Alto 的工作之后，長(zhǎng)期從事容器安全的專(zhuān)家 Ian Coldwater 說(shuō)：“這是對(duì)云供應(yīng)商的第一次攻擊，利用容器逃逸來(lái)控制其他賬戶(hù)”。
Palo Alto 在 7 月向微軟報(bào)告了這個(gè)問(wèn)題。Zelivansky 說(shuō)，這項(xiàng)工作花了他的團(tuán)隊(duì)幾個(gè)月的時(shí)間，他同意惡意黑客可能沒(méi)有在實(shí)際攻擊中使用過(guò)類(lèi)似的方法。不過(guò)，這份報(bào)告仍然是微軟的核心Azure系統(tǒng)在幾周內(nèi)暴露的第二個(gè)重大缺陷。8月下旬，Wiz的安全專(zhuān)家描述了一個(gè)數(shù)據(jù)庫(kù)缺陷，該缺陷也會(huì)允許一個(gè)客戶(hù)改變另一個(gè)客戶(hù)的數(shù)據(jù)。
文章轉(zhuǎn)載自cnBeta.COM
微軟在周三寫(xiě)道："出于謹(jǐn)慎考慮，我們向可能受到研究人員活動(dòng)影響的客戶(hù)發(fā)出了通知。    文章轉(zhuǎn)載自cnBeta.COM