Microsoft bug bounty-t fizetett a Tenable-nek
A Microsoft felhőjében található sebezhetőség potenciálisan lehetővé teszi, hogy a bűnözők átverjék a tűzfalszabályokat, és hozzáférjenek mások privát webes erőforrásaihoz. A probléma, amelyet a Tenable sebezhetőség-értékelő cég kutatócsoportja fedezett fel, az Azure egyik konstrukciójából, a Service Tags-ből ered.
A Service Tags az Azure-szolgáltatások által használt IP-címek csoportosítására használható, így elméletileg könnyebb ellenőrizni az erőforrásokhoz való hálózati hozzáférést. Ha például azt szeretnénk, hogy egy adott Azure szolgáltatás interakcióba lépjen a privát webes alkalmazással, akkor egy Service Tag segítségével csak az adott szolgáltatás kapcsolódásait engedhetjük be a tűzfalon keresztül az alkalmazáshoz.
A Microsoft azt javasolja, hogy amikor az Azure-felhasználók ilyen típusú biztonsági házirendeket hoznak létre, azokat ne egyes Azure IP-címekre, hanem Service Tagekre alkalmazzák.
A Tenable úgy véli, hogy ezeket a címkéket egy Azure-ügyfél visszaélhet azzal, hogy más ügyfelek dolgaihoz férjen hozzá – ez egy bérlők közötti támadás -, ha ezek az áldozatok a szolgáltatáscímkékre támaszkodnak a tűzfalszabályaikban. A Microsoft azonban nem fogja kijavítani a problémát, mert nem minősíti a problémát sebezhetőségnek. Ehelyett a Microsoft úgy véli, hogy az ügy egy félreértés azzal kapcsolatban, hogy valaki hogyan dönt a Service Tags használatáról és annak rendeltetéséről.
Egy hónappal később a Tenable szerint a Microsoft kidolgozott egy átfogó javítást és ütemtervet a megvalósításhoz, de később úgy döntött, hogy csak egy átfogó dokumentációfrissítéssel oldja meg a problémát. A Windows úgy tűnik, úgy gondolja, hogy a Service Tags biztonsági hiányosságait a biztonsági ellenőrzések kombinált rétegeivel lehet a legjobban megoldani.