Azure 漏洞会让黑客接管云服务器

ure App Service是一项完全托管的集成服务，让用户能够为任何平台或设备创建Web和移动应用程序，并将它们与SaaS解决方案和本地应用程序轻松集成起来、使业务流程实现自动化。

据研究人员向知名网站The Hacker News出示的一份安全报告显示，第一个安全漏洞（CVE-2019-1234）是一个服务器端请求欺骗漏洞，该漏洞影响了微软的混合云计算软件解决方案Azure Stack。

一旦被钻空子，该漏洞将使远程黑客能够未经授权即可访问在Azure基础架构上运行的任何虚拟机的屏幕截图和敏感信息——至于是在共享的虚拟机、专用的虚拟机还是隔离的虚拟机上运行，并不重要。

据研究人员声称，该漏洞可以通过微软Azure Stack Portal来钻空子，用户通过该界面来访问使用Azure Stack创建的云。

通过使用一个未经身份验证的内部API，研究人员找到了一种方法，以获取虚拟机名称和ID、硬件信息（比如目标机器的核心和总内存），然后结合使用另一个未经身份验证的HTTP请求以获取屏幕截图，如图所示。

（编辑：孝感站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!