De kwetsbaarheid krijgt de naam AutoWarp mee en werd ontdekt door Yanir Tsarimi van securitybedrijf Orca Security. Hij ontdekte het probleem al op 7 december, meldde het de dag nadien waarbij Microsoft het probleem al op 10 december verhielp.

AutoWarp kon misbruikt worden via de Azure Automation Services, een dienst om onder meer met Powershell of Python acties te automatiseren. Om dat te doen heb je een link nodig naar een managed identity dat de nodige toestemmingen heeft. Maar door een slechte beveiliging is het mogelijk om ook de managed identity tokens van andere automatiseringsopdrachten te verkrijgen. Daarbij krijg je toegang tot andermans account.

Toegang tot andermans omgeving op zelfde server

In een blogpost en op Twitter legt Tsarimi zijn werkwijze in detail uit. Hij vertelt dat hij willekeurig een aantal functies in Azure uitprobeerde, op zoek naar mogelijke problemen, en daarbij onder meer ontdekte dat specifieke poorten toegang gaven tot specifieke managed identity tokens.

Tsarimi kon naar eigen zeggen zo onder meer toegang krijgen tot de account van een wereldwijd telecombedrijf, twee autofabrikanten, een bankgroep en vier grote boekhoudkantoren.

40.000 euro

Na het melden bij Microsoft werd de kwetsbaarheid nog wel even stilgehouden zodat Microsoft kon uitzoeken of er varianten op de kwetsbaarheid bestonden. Intussen zegt het bedrijf dat er geen sporen zijn dat de kwetsbaarheid door hackers is misbruikt. Tsarimi zelf kreeg voor zijn ontdekking een bug bounty van 40.000 euro.

De kwetsbaarheid krijgt de naam AutoWarp mee en werd ontdekt door Yanir Tsarimi van securitybedrijf Orca Security. Hij ontdekte het probleem al op 7 december, meldde het de dag nadien waarbij Microsoft het probleem al op 10 december verhielp.AutoWarp kon misbruikt worden via de Azure Automation Services, een dienst om onder meer met Powershell of Python acties te automatiseren. Om dat te doen heb je een link nodig naar een managed identity dat de nodige toestemmingen heeft. Maar door een slechte beveiliging is het mogelijk om ook de managed identity tokens van andere automatiseringsopdrachten te verkrijgen. Daarbij krijg je toegang tot andermans account.In een blogpost en op Twitter legt Tsarimi zijn werkwijze in detail uit. Hij vertelt dat hij willekeurig een aantal functies in Azure uitprobeerde, op zoek naar mogelijke problemen, en daarbij onder meer ontdekte dat specifieke poorten toegang gaven tot specifieke managed identity tokens.Tsarimi kon naar eigen zeggen zo onder meer toegang krijgen tot de account van een wereldwijd telecombedrijf, twee autofabrikanten, een bankgroep en vier grote boekhoudkantoren.Na het melden bij Microsoft werd de kwetsbaarheid nog wel even stilgehouden zodat Microsoft kon uitzoeken of er varianten op de kwetsbaarheid bestonden. Intussen zegt het bedrijf dat er geen sporen zijn dat de kwetsbaarheid door hackers is misbruikt. Tsarimi zelf kreeg voor zijn ontdekking een bug bounty van 40.000 euro.