Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Microsoft Azure Güvenlik Açığı, Saldırganların Güvenlik Duvarı Kurallarını Atlamasına İzin Veriyor

Microsoft Azure Güvenlik Açığı, Saldırganların Güvenlik Duvarı Kurallarını Atlamasına İzin Veriyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
248 0
Microsoft Azure Güvenlik Açığı pp

Microsoft Azure Güvenlik Açığı, Saldırganların Güvenlik Duvarı Kurallarını Atlamasına İzin Veriyor

Güvenilir Araştırmalar, Microsoft Azure Güvenlik Açığı kötü niyetli saldırganların güvenilen hizmetlerden gelen istekleri taklit ederek güvenlik duvarı kurallarını atlamasına olanak tanıyan önemli bir güvenlik açığını ortaya çıkardı. Bu güvenlik açığı aşağıdakiler de dahil olmak üzere birçok Azure hizmetini etkiler:

Microsoft Azure Güvenlik Açığı

  • Azure Application Insights
  • Azure DevOps
  • Azure Machine Learning
  • Azure Logic Apps
  • Azure Container Registry
  • Azure Load Testing
  • Azure API Management
  • Azure Data Factory
  • Azure Action Group
  • Azure AI Video Indexer
  • Azure Chaos Studio

Ciddiyet ve Etki Tenable Research

Bu güvenlik açığını bir güvenlik özelliği atlama sorunu olarak sınıflandırmıştır.

Genel Güvenlik Açığı Puanlama Sistemi (CVSS) genellikle güvenlik açıklarının ciddiyetini ölçmek için kullanılırken, Tenable, veri bütünlüğü ve gizliliği üzerindeki etkisi nedeniyle bu sorun için Yüksek bir önem derecesi önerir.

Microsoft Güvenlik Yanıt Merkezi (MSRC), sorunu Önem derecesi Önemli olan bir Ayrıcalık Yükseltmesi olarak kabul etti ve keşfi için bir ödül verdi.

Çözüm ve Öneriler

Microsoft, müşterileri hizmet etiketlerinin kullanım kalıpları hakkında bilgilendirmek için merkezi belgeler oluşturarak sorunu çözmeyi seçti. Ancak, savunmasız davranış müşteri ortamlarında hala mevcuttur.

Kullanıcıların, hizmet etiketleri kullanılarak yönetilen denetimlerinin üzerine varlıklarını savunmak için kimlik doğrulama ve yetkilendirme katmanları eklemeleri önerilir.

İlginizi çekebilecek yazımız: Kaspersky, Linux’u Bilinen Tehditlere Karşı Tarayan Ücretsiz Bir Araç Yayınladı

Açıklama sürecinin zaman çizelgesi aşağıdaki gibidir:

  • 24 Ocak 2024: Tenable, Microsoft’a yönelik güvenlik açığını açıkladı. Otomatik onay alındı.
  • 31 Ocak 2024: MSRC, bildirilen davranışı onaylar ve bir ödül verir.
  • 2 Şubat 2024: MSRC kapsamlı bir düzeltme planı ve bir uygulama zaman çizelgesi tasarlar.
  • 26 Şubat 2024: MSRC, kapsamlı bir dokümantasyon güncellemesi yoluyla sorunu çözmeye karar verdi ve daha fazla güvenlik açığı varyantını ele aldı.
  • 6 Mart 2024: Mayıs ayında koordineli açıklama üzerinde anlaşmaya varıldı.
  • 30 Nisan 2024: Tenable, msrc’ye bir blog taslağı sunar.
  • 30 Nisan – 10 Mayıs 2024: Teknik yorumları dahil etmek için MSRC ile güvenilir koordinatlar.
  • 3 Haziran 2024: Koordineli açıklama.

Bu güvenlik açığı, sağlam güvenlik önlemlerinin önemini ve güvenlik protokollerinin sürekli izlenmesi ve güncellenmesi ihtiyacını vurgulamaktadır.

Etkilenen Azure hizmetlerinin kullanıcıları, varlıklarını korumak için ek kimlik doğrulama ve yetkilendirme katmanları uygulamak üzere hemen harekete geçmelidir.

Haber kaynağı: Cyber Security News

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir