微软警告Azure用户,存在安全漏洞可能导致数据被黑客窃取。PaloAlto Networks研究员揭示了容器系统漏洞,微软虽已修复但未排除过去的数据访问风险。专家指出云服务提供商与用户的安全责任。
整理 | 祝涛
出品 | 优快云(ID:优快云news)
据报道,微软向部分Azure云用户发出警告,称安全研究人员发现了漏洞,黑客可能会通过这个漏洞窃取他们的数据。
Palo Alto Networks公司的研究员Ariel Zelivansky在接受媒体采访时称,他的团队已经能够打入Azure广泛使用的容器系统,该系统为用户存储程序。
在微软安全响应团队的一篇博文中,微软表示已修复Palo Alto Networks公司报告的漏洞,没有证据表明黑客已经利用了这个漏洞。对于是否保证数据没有被访问,微软没有给出一个明确的答案。该公司表示,已经通知了一些用户,提醒他们更改登录凭据,以此作为预防措施。
长期从事集装箱安全工作的专家Ian Coldwater表示:“云服务提供商通过容器逃逸技术来控制其他账户,这样的攻击手段还是首次见到。”
Palo Alto在7月份向微软报告了这个问题。Zelivansky表示,他的团队花了几个月的时间才完成这项工作,他认为黑客在实际的攻击中可能没有使用类似的方法。
不过,该报告是数周以来微软核心Azure系统暴露出的第二个重大问题。8月下旬,某一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz所成立的一个研究小组调查发现,通过这一漏洞能够访问控制数千家公司持有的数据库访问权的密钥。
在这两种情况下,微软都认为这些安全研究人员自身的检测行为可能会影响到部分客户,而不认为所有用户都会因为这个漏洞而面临风险。
微软于周三写道:“出于非常谨慎的考虑,我们向可能受到研究活动影响的客户发送了通知。”
Coldwater表示,这一问题反映出微软未能及时应用补丁,而微软经常将这一问题归咎于用户。
“在现代软件的帮助下,许多促使这次攻击成为可能的因素可以得以避免,保持代码更新非常重要,”Coldwater说。
最低0.47元/天 解锁文章
扫一扫
1551
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
