微軟修復了Azure 自動化服務中的一個漏洞，可導致攻擊者完全控制其它Azure 客戶的數據。

　　微軟 Azure 自動化服務提供進程自動化、配置管理和更新管理特性服務，每個Azure 客戶的每個預定任務都在隔離的沙箱中運行。

　　該漏洞由 Orca Security 公司的云安全研究員Yanir Tsarimi 發(fā)現并被命名為 “AutoWarp”。攻擊者可利用該漏洞從管理其它用戶沙箱的內部服務器中竊取其它Azure 客戶的管理身份認證令牌。他指出，“具有惡意意圖的人員本可繼續(xù)抓取令牌，并利用每個令牌攻擊更多的Azure客戶。根據客戶分配權限的情況，這種攻擊可導致目標賬戶的資源和數據被完全控制。我們發(fā)現很多大公司都受影響，包括一家跨國電信公司、兩家汽車制造商、一家銀行企業(yè)集團、四家會計事務所等等。”

　　無在野利用證據

　　受該漏洞影響的Azure 自動化賬戶包括啟用了管理身份特性的賬戶（Tsarimi 指出，默認為啟用狀態(tài)）。

　　微軟表示，“使用自動化Hybrid工人進行執(zhí)行和/或自動化Run-As賬戶訪問資源的自動化賬戶并不受影響。”

　　2021年12月10日，在漏洞報告第五天，微軟攔截除合法訪問權限以外的對所有沙箱的認證令牌的訪問權限。

　　微軟于今天披露該漏洞，并表示并未發(fā)現管理身份令牌遭濫用或AutoWarp遭利用的證據。微軟已通知所有受影響 Azure自動化服務客戶并推薦采取相關安全最佳實踐。

　　另外，2021年12月，微軟還修復了另外一個 Azure 漏洞（被稱為“NotLegit”），攻擊者可利用該漏洞獲得訪問客戶 Azure web應用源代碼的訪問權限。