研究人员发现微软的Azure服务标记中存在严重安全漏洞

据bleepingcomputer网6月3日报道，Tenable 的安全研究人员在微软的 Azure 服务标记中发现了他们所描述的高严重性漏洞，该漏洞可能允许攻击者访问客户的私人数据。

服务标记是特定 Azure 服务的 IP 地址组，用于防火墙筛选和基于 IP 的访问控制列表 （ACL），当需要网络隔离来保护 Azure 资源时。这是通过阻止传入或传出 Internet 流量并仅允许 Azure 服务流量来实现的。

Tenable 的 Liv Matan 解释说，威胁行为者可以利用该漏洞制作类似 SSRF 的恶意 Web 请求，以模拟受信任的 Azure 服务并绕过基于 Azure 服务标记的防火墙规则，这些标记通常用于保护 Azure 服务和敏感数据，而无需进行身份验证检查。

“这是一个高严重性的漏洞，可能允许攻击者访问Azure客户的私人数据。”Matan说。

攻击者可以利用“经典测试”或“标准测试”功能中的“可用性测试”功能，允许他们访问内部服务，并可能暴露托管在端口 80/443 上的内部 API。

（编译：andy）