本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2021/11/18 SecurityWeek — 水曜日に Microsoft は、Azure Active Directory (AD) に影響を与える情報漏えいの脆弱性に、パッチを適用したと顧客に通知しました。この脆弱性 CVE-2021-42306 (CVSS 8.1) は、Azure で新しい Automation Account が設定されたときの、Run as 認証情報が作成される方法に起因している。
Azure のミスコンフィグレーションにより、Automation Account の Run as 認証情報 (PFX 証明書) が、Azure AD に平文で保存されてしまい、アプリ登録の情報へのアクセスが可能な、すべてのユーザーに対してアクセスが許されてしまう。したがって攻撃者は、これらの証明書を使用した認証が可能となる。
この脆弱性を発見した、ペネトレーションテスト会社である NetSPI のセキュリティ研究者たちは、攻撃者がこのバグを利用して、Automation Account を持つあらゆるサブスクリプションを Contributor 権限へと昇格させ、影響を受けるサブスクリプション・リソースにアクセスできると説明している。
・・・
|
|
|
|
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。