Microsoft Azure服务中发现漏洞可能会导致黑客接管云服务器

据外媒报道,近日,以色列网络安全公司Check Point的研究人员披露了Microsoft Azure App Service中两个潜在高危漏洞的详细信息,这些漏洞如果被利用,可能会影响在Azure上运行其Web和移动应用程序的多家企业。

据了解,第一个是一个请求欺骗漏洞CVE-2019-1234,影响了Microsoft的混合云计算软件解决方案Azure Stack。若被利用,则可能使黑客能够未经授权地远程访问在Azure架构上运行的所有虚拟机的屏幕截图和敏感信息,无论它们是在共享、专用还是隔离的虚拟机上运行都会受到影响。

据研究人员称,此漏洞可通过Microsoft Azure Stack门户加以利用,该界面可以帮助用户访问使用Azure Stack创建的云。研究人员还发现了一种获取虚拟机名称和ID、核心硬件信息以及目标计算机总内存的方法,可能会被黑客加以利用。

第二个漏洞是一个远程代码执行漏洞CVE-2019-1372,影响了Azure Stack上的Azure应用服务,使黑客能够完全控制整个Azure服务器,从而控制整个企业的商业代码。此外,攻击者还可以通过使用Azure Cloud创建免费用户帐户并在其上运行恶意功能,或者将未经身份验证的HTTP请求发送到Azure Stack用户门户来利用这两个漏洞。

关于第二个漏洞Check Point发表了详细的技术文章表示,该漏洞主要存在于DWASSVC中。DWASSVC是一种服务,用于管理和运行承租人的应用程序。由于Azure Stack在将内存复制到缓冲区之前未能检查缓冲区的长度,因此攻击者可能会通过向DWASSVC服务发送特制消息来利用此漏洞,从而使其能够得到服务器权限以执行恶意代码。

目前,发现这两个漏洞的Check Point研究人员Ronen Shustin已将所发现的详细情况报告给了Microsoft,以黑客造成严重破坏和混乱,并获得了Microsoft 4万美元的漏洞奖励。

版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

中国领先的互联网域名及云服务提供商

为您提供域名,比特币,P2P,大数据,云计算,虚拟主机,域名交易最新资讯报道

域名注册云服务器