23
חוקרים ישראלים, ביניהם פול ליטווק מחברת אינטז'ר, חשפו שתי פרצות אבטחה חמורות בשירות הענן של מיקרוסופט – Azure. על פי הפרסום היום (ה') הפרצות מאפשרות לשתול דפי פישינג – זאת אומרת אתרים מזויפים שהקלדה של פרטים או העברת מידע דרכם מיורטת על ידי האקרים. תוצאה אפשרית של ניצול פרצה כזו מאפשרת לתוקף להונות מנהלי מערכות של חברות גדולות כדי לגנוב את פרטי הגישה שלהם.
שירותי הענן של מיקרוסופט Azure
קראו עוד בכלכליסט:
סמנכ"ל המחקר של אינטזר, ארי איתן, שגילתה את הפרצות האלה הסביר שמדובר בחולשות שרלוונטיות בעיקר לארגונים בסדר גודל של אנרפרייז – לרוב עושים שימוש בשירותי הענן של Azure. "אפשר באמצעות החולשות לשתול דפי פשינג בסביבה הרשמית של Azure, לעיתים אפילו בלי גישה ישירה לשרת", כותב איתן.
שירותי הענן של מיקרוסופט Azure
החולשות נמצאו ב-Azure App Services, ספציפית במערכת הניהול שנקראת Kudu המאפשרת לפרסם אפליקציות באינטרנט בצורה קלה ומהירה. החברה פנתה למיקרוסופט שטיפלה וחסמה את הפרצות במהירות.
המחקר חושף בעיקר את החשיבות של אבטחת סביבת הענן. במקרה הנוכחי מדובר היה בפרצה שהיתה מחוץ ליכולת הטיפול של המשתמשים ונמצאה באחריות הספקית, קרי מיקרוסופט. ככל הנראה המעבר המאסיבי לשימוש בענן בימי הקורונה יחשוף עוד לא מעט פרצות נוספות.
