0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p>Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.</p>
1
<p>Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.</p>
2
<p><strong>Что случилось?</strong>Специалисты из Orca Security обнаружили уязвимость в сервисе Microsoft Azure Automation. Благодаря ей неавторизованные пользователи могут получать доступ к аккаунтам Azure-клиентов и полностью их контролировать. Уязвимость назвали<a>AutoWarp</a>.</p>
2
<p><strong>Что случилось?</strong>Специалисты из Orca Security обнаружили уязвимость в сервисе Microsoft Azure Automation. Благодаря ей неавторизованные пользователи могут получать доступ к аккаунтам Azure-клиентов и полностью их контролировать. Уязвимость назвали<a>AutoWarp</a>.</p>
3
<p><strong>И что?</strong>Orca Security начала исследование 6 декабря 2021 года и в тот же день отправила отчёт в Microsoft. А на следующий день - 7 декабря - специалисты из Orca Security выяснили, что уязвимость может подвергнуть большие компании серьёзному риску. Список включает международные телекоммуникационные компании, двух производителей автомобилей, банковскую систему, четыре бухгалтерские компании и так далее.</p>
3
<p><strong>И что?</strong>Orca Security начала исследование 6 декабря 2021 года и в тот же день отправила отчёт в Microsoft. А на следующий день - 7 декабря - специалисты из Orca Security выяснили, что уязвимость может подвергнуть большие компании серьёзному риску. Список включает международные телекоммуникационные компании, двух производителей автомобилей, банковскую систему, четыре бухгалтерские компании и так далее.</p>
4
<p>Через несколько дней - 10 декабря - Microsoft исправила проблему и начала изучать потенциальные варианты атак. И только через три месяца - 7 марта 2022 года - она официально<a>рассекретила</a>уязвимость и показала отчёт исследований.</p>
4
<p>Через несколько дней - 10 декабря - Microsoft исправила проблему и начала изучать потенциальные варианты атак. И только через три месяца - 7 марта 2022 года - она официально<a>рассекретила</a>уязвимость и показала отчёт исследований.</p>
5
<p><strong>А как это работает?</strong>Уязвимость позволяет взаимодействовать с внутренним сервером, который управляет песочницами клиентов Azure. Любой злоумышленник мог получить токены аутентификации к аккаунтам пользователей через такой сервер, а потом использовать их, чтобы запускать вредоносный код и проводить атаки на других пользователей.</p>
5
<p><strong>А как это работает?</strong>Уязвимость позволяет взаимодействовать с внутренним сервером, который управляет песочницами клиентов Azure. Любой злоумышленник мог получить токены аутентификации к аккаунтам пользователей через такой сервер, а потом использовать их, чтобы запускать вредоносный код и проводить атаки на других пользователей.</p>
6
<p>Исследователи по безопасности облачных сервисов Янир Тсарими и Йоав Алон из Orca Security в интервью к <a>The Daily Swig</a>сказали:</p>
6
<p>Исследователи по безопасности облачных сервисов Янир Тсарими и Йоав Алон из Orca Security в интервью к <a>The Daily Swig</a>сказали:</p>
7
<p>"Эти токены могут применять при работе с сервисами Azure, чтобы выполнить любую операцию, которую пользователь Azure Automation может себе позволить. Эта уязвимость позволяет хакерам получать полный контроль над ресурсами Azure - например, над виртуальными машинами и/или данными, которые принадлежат пользователям, в зависимости от полномочий конкретного пользователя".</p>
7
<p>"Эти токены могут применять при работе с сервисами Azure, чтобы выполнить любую операцию, которую пользователь Azure Automation может себе позволить. Эта уязвимость позволяет хакерам получать полный контроль над ресурсами Azure - например, над виртуальными машинами и/или данными, которые принадлежат пользователям, в зависимости от полномочий конкретного пользователя".</p>
8
<p>Подробный технический разбор можно посмотреть на <a>сайте Orca Security</a>. По словам представителей Microsoft, применение лучших практик в области безопасности в сервисах Azure Automation позволит избежать проблем с уязвимостями. Эти практики описаны в <a>официальной документации Microsoft</a>.</p>
8
<p>Подробный технический разбор можно посмотреть на <a>сайте Orca Security</a>. По словам представителей Microsoft, применение лучших практик в области безопасности в сервисах Azure Automation позволит избежать проблем с уязвимостями. Эти практики описаны в <a>официальной документации Microsoft</a>.</p>
9
<a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>
9
<a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>