Microsoft Azure’de 4 Yıllık Güvenlik Açığı Tespit Edildi

Microsoft’un internet tabanlı bir data depolama hizmeti olan (bulut teknolojisi) Microsoft Azure’da 4 yıllık bir güvenlik açığı tespit edildi. Şirket, husus üzerine birinci açıklamasını yayınladı.

Bulut güvenlik şirketi Wiz’in, Microsoft Azure’da “NotLegit” olarak isimlendirilen bir yanılgıyı keşfetti. Microsoft, husus ile ilgili birinci açıklamasında güvenlik açığından etkilenebilecek müşterilerini uyarırken sorunun kaynağı ve tahlili hakkında bilgi verdi.

Güvenlik teklifleri güncellendi

Microsoft’un Güvenlik Merkezi, Wiz tarafından yapılan Koordineli Güvenlik Açığı açıklamasıyla müşterilerinin bilgilerini riske atabilecek bir sorun ile karşılaşılabileceğini duyurdu. Şirket, Azure uygulaması ile statik içerik sunmak üzere yapılandırılmış bir uygulamanın birleştirilmesi sonucunda, kullanıcıların datalarına başkalarının erişmesinin mümkün olabileceğini belirtti. Sorunun tahliline yönelik düzeltmenin Kasım ayında dağıtıldığını ve akabinde müşterilere bilgi verildiğini bildirdi. Ayrıyeten risk altında olan bilgilerin garanti altına alınabilmesi için müşterilerle birlikte çalışmaya devam edeceklerini açıkladı.

Microsoft yaptığı açıklamayla, sorunun içerik kök dizininde evraklar oluşturulduktan yahut değiştirildikten sonra Lokal Git’i kullanarak uygulamaları dağıtan App Servise Linux müşterilerinin etkilendiğini açıkladı. Tespit edilen güvenlik açığının kaynağının sistemin şu anda dağıtılan belgeleri depo içeriğinin bir kesimi olarak müdafaaya çalışması ve dağıtım moturu ‘Kudu’ tarafından yerinde dağıtımlar olarak adlandırılanları aktifleştirmesi olduğunu belirtti. Teknoloji şirketi, Güvenlik Önerileri dokümanını kaynak kodunun güvenliğine ait ek bir kısımla güncelledi. Wiz araştırma grubu, Microsoft’a sorunu birinci olarak 7 Ekim’de bildirdiğini ve o vakitten bu yana sorunu çözmek için şirketle birlikte çalıştıklarını söz etti. Güvenlik şirketine yanılgı tespitinin karşılığında 7.500 dolarlık bir ödül verildi.