导读 专家警告说,微软的Azure云平台存在一个高严重性的安全漏洞,可能会导致受害组织在不知不觉中在其端点上执行恶意软件。Vectra的研究人员在...
专家警告说,微软的Azure云平台存在一个高严重性的安全漏洞,可能会导致受害组织在不知不觉中在其端点上执行恶意软件。
Vectra的研究人员在最近的一篇博客文章中概述了该问题,并指出该漏洞存在于AzureLogs中,讽刺的是,该工具用于跟踪云环境中的恶意活动(除其他外)。虽然日志听起来像是Azure管理员只能读取而不是编辑的内容,但用户可以控制某些数据,例如用户ID、电子邮件地址、消息主题等。
研究人员声称,通过将恶意数据注入日志,处理这些数据的应用程序可能会被诱骗执行恶意软件。
研究写道:“例如,人们可以在帐户注册表单中提交包含XSS(跨站脚本)有效负载的虚假电子邮件地址。”“而在浏览器中打开此日志的应用程序管理员可能会成为XSS攻击的受害者。”
但还有另一种方法可以将恶意软件植入人们的设备-称为CSV注入。由于Azure日志可以作为CSV文件(逗号分隔值)下载,因此该文件可能包含程序在打开文件时执行的Excel公式。您猜对了,某些公式可能是恶意的,会强制操作系统命令执行和其他漏洞利用。报告中写道:“这可能很危险,不仅因为可以运行任意命令,还因为用户通常不知道这一点,认为CSV文件只是纯文本文件,不可能造成任何损害。”
研究人员得出结论,这些漏洞可以在未经身份验证的情况下执行,这表明攻击者不需要在云环境中拥有帐户。
好消息是,该漏洞在完全修补的Excel实例上不起作用,因此请确保您的实例是最新的。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!