Azure CLI er det seneste Microsoft-produkt, der er alvorligt udsat på grund af en ny sårbarhed

CVE-2023-36052 kan afsløre fortrolige oplysninger i offentlige logfiler.

CVE-2023-36052

Azure CLI (Azure Command-Line Interface) var angiveligt i stor risiko for at afsløre følsomme oplysninger, inklusive legitimationsoplysninger, når nogen ville interagere med GitHub Actions-logfilerne på platformen, ifølge det seneste blogindlæg fra Microsoft Security Response Center.

MSRC blev gjort opmærksom på sårbarheden, nu kaldet CVE-2023-36052, af en forsker, der fandt ud af, at tweaking Azure CLI-kommandoer kan føre til visning af følsomme data og output til Kontinuerlig Integration og Kontinuerlig Deployering (CI/CD) logs.

Det er ikke første gang, forskere finder ud af, at Microsoft-produkter er sårbare. Tidligere i år gjorde et team af forskere Microsoft opmærksom på, at Teams er meget tilbøjelige til moderne malware, herunder phishing-angreb. Microsoft-produkter er så sårbare at 80 % af Microsoft 365-konti blev hacket i 2022, alene.

Truslen fra CVE-2023-36052 sårbarheden var så stor en risiko, at Microsoft straks greb ind på tværs af alle platforme og Azure-produkter, herunder Azure Pipelines, GitHub Actions og Azure CLI, og forbedret infrastruktur for bedre at kunne modstå sådanne tweaking.

Som svar på Prismas rapport har Microsoft foretaget flere ændringer på tværs af forskellige produkter, herunder Azure Pipelines, GitHub Actions og Azure CLI, for at implementere mere robust hemmelig redaktion. Denne opdagelse fremhæver det stigende behov for at hjælpe med at sikre, at kunder ikke logger følsomme oplysninger ind i deres repo- og CI/CD-pipelines. Minimering af sikkerhedsrisiko er et fælles ansvar; Microsoft har udstedt en opdatering til Azure CLI for at forhindre hemmeligheder i at blive outputtet, og kunder forventes at være proaktive i forhold til at tage skridt til at sikre deres arbejdsbelastninger.

Microsoft

Hvad kan du gøre for at undgå risikoen for at miste følsomme oplysninger til CVE-2023-36052 sårbarheden?

Den Redmond-baserede teknologigigant siger, at brugere bør opdatere Azure CLI til den nyeste version (2.54) så hurtigt som muligt. Efter opdatering ønsker Microsoft også, at brugerne følger denne retningslinje:

  1. Opdater altid Azure CLI til den seneste udgivelse for at modtage de seneste sikkerhedsopdateringer.
  2. Undgå at udsætte Azure CLI-output i logfiler og/eller offentligt tilgængelige placeringer. Hvis du udvikler et script, der kræver outputværdien, skal du sørge for at bortfiltrere den egenskab, der er nødvendig for scriptet. Gennemse venligst Azure CLI-oplysninger vedrørende outputformater og implementere vores anbefalede vejledning til maskering af en miljøvariabel.
  3. Roter nøgler og hemmeligheder regelmæssigt. Som en generel bedste praksis opfordres kunderne til regelmæssigt at rotere nøgler og hemmeligheder på en kadence, der fungerer bedst for deres miljø. Se vores artikel om vigtige og hemmelige overvejelser i Azure her.
  4. Gennemgå vejledningen omkring administration af hemmeligheder til Azure-tjenester.
  5. Gennemgå GitHubs bedste praksis for sikkerhedshærdning i GitHub Actions.
  6. Sørg for, at GitHub-lagre er indstillet til private, medmindre andet er nødvendigt for at være offentlige.
  7. Gennemgå vejledningen til sikring af Azure Pipelines.

Microsoft vil foretage nogle ændringer efter opdagelsen af ​​CVE-2023-36052-sårbarheden på Azure CLI. En af disse ændringer, siger virksomheden, er implementeringen af ​​en ny standardindstilling, der forhindrer følsomme oplysninger mærket som hemmelige fra at blive præsenteret i outputtet af kommandoer til tjenester fra Azure familie.CVE-2023-36052

Brugere skal dog opdatere til 2.53.1 og nyere version af Azure CLI, da den nye standardindstilling ikke vil blive implementeret på ældre versioner.

Den Redmond-baserede teknologigigant udvider også redaktionsmulighederne i både GitHub Actions og Azure Pipelines for bedre at identificere og fange eventuelle Microsoft-udstedte nøgler, der kan afsløres offentligt logs.

Hvis du bruger Azure CLI, skal du sørge for at opdatere platformen til den nyeste version lige nu for at beskytte din enhed og din organisation mod CVE-2023-36052-sårbarheden.

Top 6 Windows 10-sikkerhedsapps, der kan downloades fra butikken

Top 6 Windows 10-sikkerhedsapps, der kan downloades fra butikkenWindows 10 AppsCybersikkerhed

For at løse forskellige pc-problemer anbefaler vi DriverFix:Denne software holder dine drivere kørende og holder dig dermed beskyttet mod almindelige computerfejl og hardwarefejl. Tjek alle dine ch...

Læs mere
Download dette værktøj for at kontrollere, om computeren er sårbar over for Meltdown & Spectre

Download dette værktøj for at kontrollere, om computeren er sårbar over for Meltdown & SpectreCybersikkerhed

Meltdown og Spectre er de to ord på alles læber i disse dage. Mange computer-, telefon- og serverbrugere bekymrer sig stadig om risikoen for at blive ofre for denne sårbarhed, selvom Microsoft alle...

Læs mere
Emotet Trojan er tilbage med en ny Office-phishing-kampagne

Emotet Trojan er tilbage med en ny Office-phishing-kampagneMalwarebytes ProblemerTrojanCybersikkerhed

Emotet bank Trojan er tilbage med en ny Microsoft Office phishing-fidus. Hvis du er målrettet, modtager du en ondsindet e-mail, der indeholder en URL eller et inficeret Office-dokument. Der er hård...

Læs mere