ADX – Cross-Tenant adatszivárgás
A Tenable Research egy kritikus biztonsági hibát ír le a Microsoft Azure Data Explorer (ADX) szolgáltatásban, amely lehetővé tette a tenantok közötti adatlopást egy megosztott dashboard mechanizmus kihasználásával. A sebezhetőség lényege, hogy a platform Share Dashboard funkciója hibásan kezelte a különböző Azure-tenantok közötti jogosultságokat, így egy támadó képes volt olyan dashboardot létrehozni, amely rejtett, rosszindulatú lekérdezéseket tartalmazott. Amikor az áldozat megnyitotta a támadó által megosztott dashboardot, ezek a lekérdezések a rendszerben az áldozat saját jogosultságaival futottak le, annak ellenére, hogy a támadónak nem volt hozzáférése az adott adatbázishoz.
A támadási modell egy úgynevezett cross-tenant data exfiltration mechanizmuson alapult. A támadó a saját Azure-tenantjában létrehozott dashboardban olyan Kusto Query Language lekérdezéseket helyezett el, amelyek az áldozat ADX-klaszterének adatbázisát próbálták lekérdezni. Amikor a célpont megnyitotta a dashboardot, a rendszer a lekérdezéseket legitim felhasználóként hajtotta végre, az eredmény pedig a támadó által kontrollált környezet naplóiban jelent meg. Így a támadó indirekt módon hozzáférhetett az áldozat privát adatbázisához, és az adatokat például base64-kódolva rekonstruálhatta a logokból.
A kutatók demonstrálták, hogy a módszerrel teljes adatlisták, rekordok vagy érzékeny információk is kinyerhetők lehetnek, amennyiben az áldozat rendelkezik olvasási jogosultsággal a saját ADX-adatbázisára. A támadás tehát nem klasszikus jogosultság-kiterjesztés volt, hanem egy delegált jogosultság visszaélése, amelyben a rendszer automatikusan a felhasználó hitelesítésével futtatott lekérdezéseket egy támadó által kontrollált felületen.
A sebezhetőség a CVE-2026-21524 azonosítót kapta, a Tenable értékelése szerint kritikus információszivárgási hibának minősül, CVSS-pontszáma 7.4. A sérülékenységet a kutatók 2025 decemberében jelentették a Microsoft Security Response Centernek, amely később megerősítette a problémát és javítást adott ki a platformhoz 2026 elején.