微軟修補Azure跨租戶存取漏洞

微軟本周公告已完成修補Azure中一個能讓攻擊者存取，甚至接管其他Azure租戶的漏洞。

這個漏洞存在於Azure Automation服務中，由安全廠商Orca Security去年12月發現並通報微軟。

Azure Automation負責程式自動化執行、系統更新、組態管理，管理員可用它來執行工作排程，下指令、並掌握營運狀況等。Azure一家客戶的自動化程式碼只會在單一沙箱中執行，不影響同一臺機器其他客戶的程式碼執行作業。但安全廠商發現名為AutoWarp的重大漏洞，可讓攻擊者經由Azure Automation查詢到授權用的身分令牌（token）。攻擊者可利用此令牌存取其他Azure客戶帳號的沙箱，視客戶設定的權限而定，開採該漏洞可導致攻擊者接管其他租戶的資源及資料。

研究人員發現受到AutoWarp影響的客戶，包括一家全球電信業者、2家汽車製造商、銀行集團及四大會計顧問公司之一等。

在12月獲得通報後，微軟已在12月10日修補該漏洞。微軟表示，經調查，沒有證據顯示外洩的令牌遭到濫用。