انتشار شده در تاریخ 1402/03/30 - 10:07

برطرف کردن آسیب‌پذیری‌های خطرناک و جدید آژور توسط مایکروسافت

مایکروسافت اخیراً دو آسیب‌پذیری را برطرف کرده است که بر دو ابزار مرتبط با سرویس آژور (Azure) تأثیر می‌گذارد که به هکرها امکان دسترسی به داده‌های قربانی و ایجاد تغییرات در محیط مجازی آنها را می‌دهد.

به گزارش کارگروه امنیت خبرگزاری سایبربان، محققان شرکت امنیتی اورکا (Orca) می گویند که دو آسیب‌پذیری خطرناک را در ارتباط با سرویس آژور باستین (Azure Bastion) و آژور مانتینر رجیستری (Azure Container Registry) کشف کرده‌اند که می‌تواند به مهاجمان امکان دستیابی به اسکریپت بین سایتی (XSS) را بدهد؛ فرآیندی که شامل تزریق اسکریپت‌های مخرب توسط هکرها به وب‌سایت‌های قابل اعتماد است.
این نوع آسیب‌پذیری‌ها می‌توانند منجر به دسترسی غیرمجاز، سرقت داده‌ها و حتی به خطر افتادن کامل سیستم آسیب‌دیده شوند.
لیدور بن شیتریت از شرکت امنیتی اورکا می گوید که آسیب‌پذیری‌هایی که آنها کشف کرده‌اند، به عنوان نقطه ورود مهاجمان برای سوءاستفاده از نقص‌های اسکریپت بین سایتی عمل می‌کند و می‌تواند به عواقب شدیدی از جمله دسترسی غیرمجاز به داده‌ها، تغییرات غیرمجاز و اختلال در آی فریم‌های سرویس‌های آژور منجر شود.
آژور باستین به کاربران اجازه می دهد تا به ماشین های مجازی در یک محیط ابری آژور دسترسی داشته باشند، در حالی که آژور کانتینر رجیستری یک مکان متمرکز برای ذخیره تصاویر کانتینر، فایل های اساسی حاوی کدهایی که در زیرساخت فناوری اطلاعات اجرا می شوند را در اختیار کاربران قرار می دهد.
مایکروسافت به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) می گوید که از هرگونه سوء استفاده از آسیب پذیری ها، چیزی فراتر از اثبات مفهومی ارائه شده توسط محققان اورکا نمی داند.
هم مایکروسافت و هم شرکت امنیتی اورکا می گویند که مشکل آژور باستین در تاریخ 1 آوریل به مرکز پاسخگویی امنیتی مایکروسافت و مشکل آژور کانتینر رجیستری در 3 می گزارش شده است.
مایکروسافت در بیانیه‌ای تأیید می کند که بهره‌برداری از آسیب‌پذیری‌ها می‌تواند به طور بالقوه به هکرها اجازه دهد تا به جلسه هدف در سرویس آسیب‌دیده آژور دسترسی پیدا کنند، که منجر به دستکاری داده‌ها یا اصلاح منابع خواهد شد.
آنها در این بیانیه می گویند:

مجموعه‌ای از اصلاحات بر اساس شیوه‌های استقرار ایمن ما ایجاد و اجرا شده و در 24 مه 2023 تکمیل شده است. پس از آن این مشکل برای هر دو سرویس کاهش یافته است. پس هیچ اقدام دیگری از سوی مشتریان برای حفظ امنیت لازم نخواهد بود.

یکی از سخنگویان مایکروسافت می گوید که بهره برداری از این آسیب پذیری ها مستلزم بازدید کاربر هدف از صفحه ای است که توسط مهاجم کنترل می شود و در آژور باستین، این آسیب پذیری از عیب یاب اتصال آژور نتوورک واچر (Azure Network Watcher) ناشی خواهد شد.
این غول فناوری خاطرنشان می کند که به عنوان راهی برای جلوگیری از بروز مشکلاتی مانند اسکریپت بین سایتی در آینده، مهندسان امنیتی آن‌ها قوانین داخلی خود را برای بهبود اسکن این دسته از باگ‌ها در تمامی محصولات و خدمات مایکروسافت به‌روزرسانی کرده اند.
این سخنگو می گوید:

علاوه بر این، هر زمان که آسیب‌پذیری جدیدی توسط محققان داخلی یا خارجی گزارش شود، تیم‌های امنیتی مایکروسافت برای شناسایی آسیب‌پذیری گزارش‌شده در محصولات یا خدماتی فراتر از سرویسی که در ابتدا گزارش شده، جستجوی کاملی انجام خواهند داد.
تیم‌های امنیتی مایکروسافتدر دراز مدت در حال اتخاذ سیاست‌های امنیتی محتوای جامع‌تر در مجموعه بزرگ محصولات و خدمات ما خواهند بود. اتخاذ سیاست‌های امنیتی محتوای دقیق‌تر، تضمین خواهد کرد که سطح آسیب پذیری را برای اسکریپت‌های بین‌سایتی احتمالی در آینده به حداقل می‌رسانیم.