microsoft Parece haber habido pocos cambios de opinión en lo que respecta a los riesgos de seguridad. yo visito Se ofrecen marcas de servicio.
Si bien la compañía inicialmente afirmó que la herramienta nunca fue pensada como una medida de seguridad, ahora advierte a los usuarios que existen escenarios en los que las etiquetas de servicio podrían usarse para obtener acceso no autorizado a los recursos de la nube.
Microsoft enfatizó que tales escenarios aún no se han observado y que no hay evidencia de abuso en el mundo real (todavía).
No es una frontera de seguridad
A principios de 2024, los investigadores de ciberseguridad de Tenable afirmaron Las etiquetas de servicio de Azure eran vulnerables al error Esto podría permitir que los actores de amenazas roben datos confidenciales de las personas. Las etiquetas de servicio son una característica que ayuda a simplificar la gestión de la seguridad de la red al permitir a los usuarios definir controles de acceso a la red basados en grupos lógicos de direcciones IP en lugar de direcciones IP individuales. Estas etiquetas de servicio representan un conjunto de prefijos de direcciones IP de servicios específicos de Azure, que se pueden usar en reglas de seguridad para grupos de seguridad de red (NSG), rutas definidas por el usuario (UDR) y Azure Firewall.
La herramienta podría usarse para crear solicitudes web maliciosas que se asemejen a SSRF y, por lo tanto, se hagan pasar por servicios confiables de Azure, dijo Tenable. Por lo tanto, cualquier regla de firewall que dependa de etiquetas de servicio de Azure es discutible.
En ese momento, Microsoft enfatizó que las etiquetas de servicio “no deben ser tratadas como un límite de seguridad y sólo deben usarse como un mecanismo de enrutamiento junto con controles de validación”.
En el documento “Guía mejorada para etiquetas de servicios de red Azure”, publicado en el sitio web de Microsoft a principios de este mes, se redobló esta evaluación, pero se advirtió que existen algunos riesgos:
“Nuestro socio industrial, Tenable Inc., notificó al Centro de respuesta de seguridad de Microsoft (MSRC) en enero de 2024 sobre el acceso entre inquilinos a recursos web mediante la función Etiquetas de servicio”, dijo Microsoft. “Microsoft reconoció que Tenable ha hecho un valioso trabajo. contribución a la comunidad de Azure “. Al resaltar que la forma en que se utilizan las marcas de servicio y su propósito previsto pueden malinterpretarse fácilmente”.
“La autenticación impide el acceso entre inquilinos y solo es un problema cuando no se utiliza la autenticación. Sin embargo, este caso resalta los riesgos inherentes al uso de tokens de servicio como un mecanismo para examinar el tráfico de red entrante”.
Redmond agregó que el objetivo de la guía mejorada es ayudar a las empresas a comprender mejor las marcas de servicio y cómo funcionan, no advertir sobre fallas de diseño:
“Como siempre, recomendamos encarecidamente a los clientes que utilicen múltiples capas de seguridad para sus recursos”, enfatizó Microsoft. “No se requiere ninguna acción obligatoria por parte de los clientes y no hay mensajes adicionales disponibles en el Portal de Azure. Sin embargo, Microsoft recomienda encarecidamente que los clientes revisen proactivamente su uso de las etiquetas de servicio y validen sus medidas de seguridad para autenticar solo el tráfico de red confiable en las etiquetas de servicio.
a través de Noticias de piratas informáticos