مایکروسافت اخیرا به وجود یک آسیب پذیری بحرانی در سرویس ابری Azure خود اذعان کرده است که میتواند باعث دسترسی افراد غیرمجاز به حسابهای کاربری شود.
به گزارش تکناک، این آسیبپذیری با نام “nOAuth” توسط شرکت نرمافزاری امنیتی معروف Descope در Active Directory Azure وجود دارد و به هکرها امکان میدهد از آن بهرهمند شده و با استفاده از حسابهای Azure در معرض خطر، به وبسایتهای شخص ثالث دسترسی پیدا کنند.
هکرها برای بهرهبرداری از این آسیبپذیری، فقط باید یک حساب سرویس ابری Azure با دسترسی مدیریتی ایجاد کنند و آدرس ایمیل حساب را به آدرس یک کاربر ناشناس تغییر دهند. هکرها با استفاده از قابلیت “ورود با مایکروسافت”، میتوانند به راحتی و با استفاده از حساب Azure در معرض خطر، وارد وبسایتهای شخص ثالث شوند.
آسیبپذیری “nOAuth” در دایرکتوری فعال Azure مایکروسافت، مجموعهای از خطرات را برای سیستم و کاربران آن به وجود میآورد. این آسیبپذیری به هکرها امکان دسترسی غیرمجاز به حسابهای کاربری را میدهد که ممکن است منجر به نفوذ دادهها، تصاحب حسابها و انجام تغییرات در اطلاعات حساس شود.
برخی از حسابهای سرویس ابری Azure برای وارد شدن به وبسایتهای شخص ثالث در معرض سوء استفاده قرارگرفته که این عمل باعث به خطر افتادن خدمات و کاربران آنها میشود. پیامدهای آن ممکن است شامل ضرر مالی، آسیب به شهرت و پیامدهای قانونی باشد. اقدامات سریع از سوی مایکروسافت، مانند رفع آسیبپذیری، تقویت اقدامات امنیتی و آموزش کاربران، جهت کاهش این خطرات و حفاظت از حسابهای کاربری و دادهها بسیار ضروری است. نظارت کاربران و گزارش هر فعالیت مشکوکی در مبارزه با این آسیبپذیری بسیار حیاتی است. ایمر کوهن، مدیر امنیتی Descope، ریشه این آسیبپذیری را نقص در طراحی احراز هویت مایکروسافت، بیان کرده است. تأثیر این تهدید قابل توجه است و ممکن است بر تعداد قابل توجهی از کاربران سرویس ابری Azure تأثیر بگذارد.
مایکروسافت پس از کشف تهدید، آسیبپذیری را به عنوان یک هشدار به همه کاربران اعلام کرده و آنها را به دقت در استفاده از اطلاعات ایمیل خود و رعایت اصول امنیتی فراخوانده است. با رفع این آسیبپذیری، مایکروسافت در تلاش است که به دلیل تعهد خود در قبال امنیت کاربران، اقداماتی جدی جهت حفظ خدمات ابری خود انجام دهد. به کاربران توصیه میشود که برای کاهش خطر دسترسی غیرمجاز، تنظیمات حساب خود را به طور منظم به روز کنند و رمزهای عبور قوی و منحصر به فرد اعمال کنند.
