Vulnerabilità critica di Azure: lo stato dell'applicazione delle patch non è attualmente chiaro

Attualmente ce n'è uno “Molto importante” Il divario in Microsoft Azure ha suscitato scalpore. Il modo in cui i ricercatori sulla sicurezza descrivono la vulnerabilità, gli aggressori possono sfruttarla per lanciare un attacco alla catena di fornitura. Al momento non è chiaro se sia già disponibile un aggiornamento di sicurezza.

annuncio

I ricercatori di sicurezza della Zero Day Initiative di Trend Micro descrivono la vulnerabilità con il punteggio più alto (punteggio CVSS 10 su 10) In un breve post. Ovviamente non esiste ancora il numero CVE.

Affermano che gli aggressori dovrebbero essere in grado di sfruttare la vulnerabilità da remoto senza autenticazione. Se l'attacco ha esito positivo, la registrazione di Azure può essere ignorata. L'errore rientra nelle autorizzazioni concesse al token SAS. I ricercatori al momento non forniscono dettagli su come potrebbero apparire attacchi specifici.

In questo post sulla piattaforma di cloud computing di Microsoft Azure, si dice che gli aggressori siano in grado di eseguire codice dannoso sui sistemi endpoint dei clienti come parte di un attacco alla catena di fornitura.

I ricercatori di sicurezza hanno affermato di aver segnalato la vulnerabilità a Microsoft nell’ottobre 2023. I dettagli sulla vulnerabilità sono stati ora pubblicati. Affermano che dovrebbe già esserci una patch di sicurezza. Per ulteriori informazioni a riguardo Collegamento ad esso nella Guida all'aggiornamento della sicurezza Microsoft. Ma non c'è nulla riguardo all'aggiornamento.

Squadra d'emergenza CERT Bund dell'Ufficio federale per la sicurezza dell'informazione (BSI) afferma nuovamenteNon esiste ancora una soluzione (mitigazione) al problema della sicurezza. Una risposta ad una richiesta di Heise Security a Microsoft è attualmente in sospeso.

READ  Nintendo annuncia l'acquisto dello studio di trasporti Shiver Entertainment - ntower

Di conseguenza, non è chiaro come gli amministratori possano proteggere i propri sistemi da potenziali attacchi. Al momento non è chiaro se ci siano stati effettivamente attacchi.


(affiliato)

Alla home page

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto