Check Point scopre due gravi bachi di sicurezza in Microsoft Azure
I difetti sono stati segnalati a Microsoft e corretti prima della divulgazione delle vulnerabilità, una delle quali abbastanza grave da poter permettere a un utente di prendere il controllo di un intero server Azure
di Alberto Falchi pubblicata il 06 Febbraio 2020, alle 10:01 nel canale SecurityAzureCheck Point
Quando gli esperti pensano a mettere in sicurezza il cloud, tendono a concentrarsi sul lato client, quindi su applicazioni vulnerabili o errori di configurazione che possono esporre dati che dovrebbero rimanere riservati. Raramente si presta attenzione all'infrastruttura cloud, forse in quanto ritenuta sicura. I ricercatori di Check Point hanno voluto cambiare approccio e si sono invece concentrati sulla solidità della piattaforma Microsoft Azure nella sua interezza, scoprendo due falle piuttosto gravi.
Dopo la segnalazione di Check Point, Microsoft corregge le falle di Azure
Azure Stack è composto da una serie di prodotti che estendono le funzionalità della piattaforma Microsoft Azure. I ricercatori di Check Point hanno scoperto che un attaccante poteva ottenere screenshot e informazioni relative all'infrastruttura cloud e ai suoi utilizzatori inviando delle richieste HTTP non autorizzate. La falla ha portato alla creazione del CVE-2019-1234: l'errore ora è stato corretto.
Più grave la seconda vulnerabilità, scoperta a giugno e segnalata nel CVE-2019-1372, che interessav Azure App, una Platform-as-a-Service che integra i siti web Microsoft Azure, i una serie di servizi, fra cui quelli mobile. Sfruttando un baco un aggressore avrebbe potuto compromettere le applicazioni, i dati e gli account creando un utente gratuito in Azure Cloud ed eseguendo tramite questa utenza funzioni Azure che gli avrebbero potuto permettere di prendere il controllo dell'intero server Azure, e di conseguenza, dell'intero codice aziendale, come descritto qui in maniera dettagliata. 
La prima falla nella sicurezza è stata comunicata a Microsoft il 19 gennaio 2019, la seconda il 27 giugno 2019. I dettagli sono stati tenuti riservati sino a gennaio, quando l'azienda ha risolto le due vulnerabilità.
_L.jpg)
Nothing Ear e Ear (a): gli auricolari per tutti i gusti! La ''doppia'' recensione
Sony FE 16-25mm F2.8 G: meno zoom, più luce 
Motorola edge 50 Pro: design e display al top, meno il prezzo! Recensione
SYNLAB sotto attacco: sospesa l'attività presso i punti prelievo e non solo
BYD Seal U, primo contatto. Specifiche, design e prezzo, questa elettrica ha tutto al posto giusto
Intel ha completato l'assemblaggio dello scanner High-NA EUV: fondamentale per il processo 14A
Cina: aumenta del 40% la produzione di chip, le sanzioni statunitensi stanno diventando controproducenti
GPT-4 quasi come un oculista: in un test l'IA ottiene risultati simili agli specialisti 
Prezzi super per gli Apple Watch SE di seconda generazione: eccoli a partire da 239€
L'intelligenza artificiale ruba posti di lavoro? Ora hanno paura anche i CEO (ma intanto la usano per prendere decisioni)
The Witcher 3: disponibile su Steam il REDkit, lo strumento ufficiale per la creazione delle mod
Xiaomi 15: trapelano importanti specifiche del futuro flagship. Ecco la scheda tecnica
Fallout 5? Meglio aspettare la seconda stagione della serie TV Amazon, arriverà prima!
Motorola Edge 50 Pro è ora disponibile su Amazon: è stupendo e costa molto meno del prezzo ufficiale di 699€
La tecnologia digitale sta trasformando la medicina di base in Italia. MioDottore ne è l'esempio
ASUSTOR presenta ADM 4.3 con nuove funzionalità per le cartelle WORM
S8 MaxV Ultra e Qrevo Pro: i nuovi aspirapolvere smart di Roborock arrivano in Italia. Prezzo e dettagli
_XXL.jpg)
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".