Azure CLI é o produto mais recente da Microsoft que corre grave risco devido a uma nova vulnerabilidade

How to effectively deal with bots on your site? The best protection against click fraud.

CVE-2023-36052 pode expor informações confidenciais em registros públicos.

CVE-2023-36052

A CLI do Azure (Azure Command-Line Interface) corria grande risco de expor informações confidenciais, incluindo credenciais, sempre que alguém interagir com os logs do GitHub Actions na plataforma, de acordo com a última postagem do blog do Centro de Resposta de Segurança da Microsoft.

O MSRC tomou conhecimento da vulnerabilidade, agora chamada CVE-2023-36052, por um pesquisador que descobriu que ajustar o Azure Os comandos CLI podem levar à exibição de dados confidenciais e saída para Integração Contínua e Implantação Contínua (CI/CD) Histórico.

Esta não é a primeira vez que os pesquisadores descobrem que os produtos da Microsoft são vulneráveis. No início deste ano, uma equipe de pesquisadores informou à Microsoft que o Teams está altamente propenso a malware moderno, incluindo ataques de phishing. Os produtos da Microsoft são tão vulneráveis que 80% das contas do Microsoft 365 foram hackeadas em 2022, sozinho.

A ameaça da vulnerabilidade CVE-2023-36052 era um risco tão grande que a Microsoft imediatamente tomou medidas em todas as plataformas e Produtos Azure, incluindo Azure Pipelines, GitHub Actions e Azure CLI, e infraestrutura aprimorada para melhor resistir a tais ajustes.

instagram story viewer

Em resposta ao relatório do Prisma, a Microsoft fez várias alterações em diferentes produtos, incluindo Azure Pipelines, GitHub Actions e Azure CLI, para implementar uma redação secreta mais robusta. Essa descoberta destaca a necessidade crescente de ajudar a garantir que os clientes não registrem informações confidenciais em seus repositórios e pipelines de CI/CD. Minimizar o risco de segurança é uma responsabilidade partilhada; A Microsoft lançou uma atualização para a CLI do Azure para ajudar a impedir a saída de segredos e espera-se que os clientes sejam proativos na tomada de medidas para proteger suas cargas de trabalho.

Microsoft

O que você pode fazer para evitar o risco de perder informações confidenciais devido à vulnerabilidade CVE-2023-36052?

A gigante da tecnologia com sede em Redmond diz que os usuários devem atualizar o Azure CLI para a versão mais recente (2.54) o mais rápido possível. Após a atualização, a Microsoft também deseja que os usuários sigam esta diretriz:

  1. Atualize sempre o Azure CLI para a versão mais recente para receber as atualizações de segurança mais recentes.
  2. Evite expor a saída da CLI do Azure em registos e/ou locais acessíveis ao público. Se estiver desenvolvendo um script que exija o valor de saída, certifique-se de filtrar a propriedade necessária para o script. Por favor revise Informações da CLI do Azure sobre formatos de saída e implementar nossas recomendações orientação para mascarar uma variável de ambiente.
  3. Gire chaves e segredos regularmente. Como prática recomendada geral, os clientes são incentivados a alternar chaves e segredos regularmente em uma cadência que funcione melhor para seu ambiente. Consulte nosso artigo sobre considerações importantes e secretas no Azure aqui.
  4. Revise as orientações sobre gerenciamento de segredos para serviços do Azure.
  5. Revise as práticas recomendadas do GitHub para reforço da segurança no GitHub Actions.
  6. Certifique-se de que os repositórios GitHub estejam definidos como privados, a menos que seja necessário que sejam públicos.
  7. Revise as orientações para proteger o Azure Pipelines.

A Microsoft fará algumas alterações após a descoberta da vulnerabilidade CVE-2023-36052 na CLI do Azure. Uma dessas mudanças, diz a empresa, é a implementação de uma nova configuração padrão que impede informações rotuladas como secretas sejam apresentadas na saída de comandos para serviços do Azure família.CVE-2023-36052

No entanto, os utilizadores terão de atualizar para a versão 2.53.1 e superior do Azure CLI, uma vez que a nova definição padrão não será implementada em versões mais antigas.

A gigante da tecnologia com sede em Redmond também está expandindo os recursos de redação em GitHub Actions e Azure Pipelines para melhor identificar e capturar quaisquer chaves emitidas pela Microsoft que possam ser expostas em público Histórico.

Se utilizar o Azure CLI, atualize a plataforma para a versão mais recente agora mesmo para proteger o seu dispositivo e a sua organização contra a vulnerabilidade CVE-2023-36052.

Teachs.ru
O Windows Sandbox permite que você execute aplicativos de forma segura e isolada

O Windows Sandbox permite que você execute aplicativos de forma segura e isoladaNotícias Do Windows 10Cíber Segurança

Notícias do departamento de tecnologia da Microsoft. Em breve, poderemos executar aplicativos sobre os quais não temos certeza em um "ambiente de área de trabalho isolado e temporário" chamado Sand...

Consulte Mais informação
Quais são os riscos de usar o Windows 10 pirateado?

Quais são os riscos de usar o Windows 10 pirateado?PiratariaWindows 10Cíber Segurança

Para corrigir vários problemas do PC, recomendamos DriverFix:Este software manterá seus drivers ativos e funcionando, protegendo-o contra erros comuns de computador e falhas de hardware. Verifique ...

Consulte Mais informação
5 melhores VPNs para Bluestacks para executar aplicativos e jogos Android no PC

5 melhores VPNs para Bluestacks para executar aplicativos e jogos Android no PCVpnBluestacksCíber Segurança

BlueStacks é o serviço obrigatório para emular o sistema operacional Android em seu PC.Você pode facilmente obter acesso a todo o conteúdo com restrição geográfica na Play Store usando uma VPN.No e...

Consulte Mais informação
ig stories viewer