In Microsofts Azure sind letzte Woche Details zu einer Sicherheitslücke bekannt geworden. Angreifer konnten darüber eine Supply-Chain-Attacke durchführen, bei der sie die Anmeldung bei Azure umgehen und beliebigen Code ausführen konnten. Diese Lücke soll bereits geschlossen sein.

Trend Micros Zero Day Initiative (ZDI) hatte diese Sicherheitslücke beschrieben. Mit einem CVSS-Wert von 10 von 10 Punkten wurde der Schweregrad der Lücke bewertet, hat aber keinen eigenen CVE-Eintrag erhalten. Ein Fehler in den Berechtigungen, die ein sogenannter SAS-Token erhalten habe, war ursächlich ein Fehler. Die ZDI hat keine konkreten Angriffsszenarien skizziert.

Bereits im Oktober 2023 hatten die ZDI-Analysten Microsoft über diese Lücke informiert. Der Patch-Status war seit dem unklar, da sich in Microsoft Security Update Guide nichts Entsprechendes fand. Bislang weiß das BSI auch noch nichts von "Gegenmaßnahmen" gegen die Lücke (Mitigation).

Laut Microsoft soll diese Lücke bereits im November 2023 angegangen worden sein. Die Kunden seien bereits geschützt. Es wurde kein CVE-Eintrag angelegt, da keine Kunden-Aktionen nötig waren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE