本記事はサイバー・セキュリティに関するニュースを集めた情報サイト 「IoT OT Security News」に掲載されている情報から セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2021/11/18 SecurityWeek — 水曜日に Microsoft は、Azure Active Directory (AD) に影響を与える情報漏えいの脆弱性に、パッチを適用したと顧客に通知しました。この脆弱性 CVE-2021-42306 (CVSS 8.1) は、Azure で新しい Automation Account が設定されたときの、Run as 認証情報が作成される方法に起因している。
Azure のミスコンフィグレーションにより、Automation Account の Run as 認証情報 (PFX 証明書) が、Azure AD に平文で保存されてしまい、アプリ登録の情報へのアクセスが可能な、すべてのユーザーに対してアクセスが許されてしまう。したがって攻撃者は、これらの証明書を使用した認証が可能となる。