Azure CLI は、新たな脆弱性により深刻な危険にさらされている最新の Microsoft 製品です

CVE-2023-36052 では、公開ログ内の機密情報が公開される可能性があります。

CVE-2023-36052

Azure CLI (Azure Command-Line Interface) は機密情報が漏洩する大きなリスクにさらされていると報告されています。 認証情報を含む、誰かがプラットフォーム上の GitHub Actions ログを操作するたびに、 によると 最新のブログ投稿 Microsoft セキュリティ レスポンス センターから。

MSRC は、Azure を微調整することを発見した研究者によって、現在 CVE-2023-36052 と呼ばれているこの脆弱性を認識しました。 CLI コマンドにより、機密データが表示され、継続的インテグレーションおよび継続的デプロイメント (CI/CD) への出力が表示される可能性があります。 ログ。

研究者が Microsoft 製品に脆弱性があることを発見したのはこれが初めてではありません。 今年の初めに、研究者のチームが Microsoft に、Teams が 最新のマルウェアに非常に感染しやすいフィッシング攻撃を含む。 Microsoft製品は非常に脆弱です 2022 年に Microsoft 365 アカウントの 80% がハッキングされた、 一人で。

CVE-2023-36052 脆弱性の脅威は非常に危険であったため、Microsoft はすべてのプラットフォームに対して直ちに措置を講じました。 Azure Pipelines、GitHub Actions、Azure CLI などの Azure 製品と、そのような問題に対処するための改善されたインフラストラクチャ 調整中。

Prisma のレポートに応じて、Microsoft は、より堅牢なシークレット編集を実装するために、Azure Pipelines、GitHub Actions、Azure CLI などのさまざまな製品にわたっていくつかの変更を加えました。 この発見は、顧客が機密情報をリポジトリや CI/CD パイプラインに記録しないようにする必要性が高まっていることを浮き彫りにしました。 セキュリティ リスクを最小限に抑えることは共同責任です。 Microsoft は、シークレットの出力を防止するために Azure CLI の更新プログラムを発行しました。顧客は、ワークロードを保護するための措置を積極的に講じることが期待されています。

マイクロソフト

CVE-2023-36052 の脆弱性により機密情報が失われるリスクを回避するにはどうすればよいでしょうか?

レドモンドに拠点を置くテクノロジー大手は、ユーザーはできるだけ早く Azure CLI を最新バージョン (2.54) に更新する必要があると述べています。 Microsoft は更新後、ユーザーに次のガイドラインに従うことも求めています。

  1. 最新のセキュリティ更新プログラムを受信するには、常に Azure CLI を最新リリースに更新してください。
  2. Azure CLI の出力をログや公的にアクセスできる場所に公開しないでください。 出力値を必要とするスクリプトを開発する場合は、スクリプトに必要なプロパティを必ず除外してください。 ご確認ください 出力形式に関する Azure CLI の情報 そして私たちが推奨するものを実装してください 環境変数をマスクするためのガイダンス。
  3. キーとシークレットを定期的にローテーションします。 一般的なベスト プラクティスとして、お客様は、環境に最適な頻度でキーとシークレットを定期的にローテーションすることをお勧めします。 Azure のキーとシークレットの考慮事項に関する記事を参照してください。 ここ.
  4. Azure サービスのシークレット管理に関するガイダンスを確認する.
  5. GitHub Actions でのセキュリティ強化のための GitHub のベスト プラクティスを確認する.
  6. パブリックにする必要がない限り、GitHub リポジトリがプライベートに設定されていることを確認します。.
  7. Azure Pipelines を保護するためのガイダンスを確認する.

Microsoft は、Azure CLI で CVE-2023-36052 脆弱性が発見されたことを受けて、いくつかの変更を加える予定です。 同社によると、これらの変更の 1 つは、機密性の高い情報を禁止する新しいデフォルト設定の実装です。 Azure からのサービスのコマンドの出力に表示されることからシークレットとしてラベル付けされた情報 家族。CVE-2023-36052

ただし、新しい既定の設定は古いバージョンには実装されないため、ユーザーは Azure CLI の 2.53.1 以降のバージョンに更新する必要があります。

レドモンドに本拠を置くテクノロジー大手は、GitHub Actions と Azure Pipelines により、公に公開される可能性のある Microsoft 発行のキーをより適切に識別して捕捉することができます。 ログ。

Azure CLI を使用している場合は、デバイスと組織を CVE-2023-36052 脆弱性から保護するために、今すぐプラットフォームを最新バージョンに更新してください。

マイクロソフトの製品の脆弱性はハッカーのお気に入りの標的です

マイクロソフトの製品の脆弱性はハッカーのお気に入りの標的ですサイバーセキュリティ

Recorded Futureの最新のサイバー攻撃とエクスプロイト関連のレポートは、興味深い事実を示しています。 同社は、既知および未知の脅威データを高度な方法で整理および分析することを目指しています。 より高速で強化されたセキュリティ.同社によれば、サイバー犯罪者が2017年中にエクスプロイトキットやフィッシング攻撃で使用していた欠陥のほとんどは、Microsoft製の製品で発見されました...

続きを読む
マイクロソフトのクラウドサーバーのデータ侵害により、数百万のデータが公開される

マイクロソフトのクラウドサーバーのデータ侵害により、数百万のデータが公開されるサイバーセキュリティ

イスラエルを拠点とするセキュリティ研究者のNoamRotemとRanLocarは最近、米国の8000万世帯の機密データを公開するセキュリティで保護されていないデータベースの問題を特定しました。 研究者は、攻撃者が数百万人の個人のデータにアクセスするために24GBのデータベースを標的にしたことを明らかにしました。含まれるデータ 彼らの名前、収入、年齢、結婚歴、生年月日、性別、完全な住所(州、国...

続きを読む
Application Guardは、信頼できないOfficeドキュメントをブロックします

Application Guardは、信頼できないOfficeドキュメントをブロックしますMicrosoft 365Windowsサンドボックスサイバーセキュリティ

Defender Application Guardは、信頼できないファイルをサンドボックス化するように設計されたセキュリティテクノロジです。マイクロソフト その発表 ディフェンダー応用ガード にとって オフィス の管理者が利用できるようになりました 公衆 プレビュー。私たちの ソフトウェアセクション デジタルツールに関する非常に包括的な記事であなたを歓迎します。デジタルの世界からの最新の記...

続きを読む