mysticfoxde
Goto Top

Microsofts Azure Health Bot Service - Kritische Schwachstellen

Moin Zusammen,

dieses Mal haben die Sicherheitsforscher von Tenable mehrere kritische Sicherheitslücken beim Microsofts Azure Health Bot Service aufgedeckt. 😔

https://www.security-insider.de/schwachstellen-azure-health-bot-service- ...

"Tenable Research hat kritische Sicherheitslücken in diesem Dienst entdeckt, die es ermöglichten, auf Ressourcen anderer Mandanten zuzugreifen. Diese Schwachstellen wurden durch die Untersuchung der „Data Connections“-Funktion entdeckt, die den Zugriff auf externe Datenquellen ermöglicht. Während die meisten internen Endpunkte, wie der Azure Internal Metadata Service (IMDS), ordnungsgemäß geschützt waren, gelang es den Forschern, durch Umleitungsantworten (301/302 Statuscodes) diese Schutzmechanismen zu umgehen. Eine Server-Side Request Forgery (SSRF) erlaubte es, Anfragen von der Applikation zu unerwünschten Zielen weiterzuleiten und so ein gültiges Metadaten-Token zu erlangen, das ihnen Zugang zu internen Azure-Ressourcen verschaffte."
😱

...

"Nach der Einführung der Fixes setzte Tenable Research die Untersuchung fort und entdeckte eine ähnliche Schwachstelle bei der Validierung von Datenverbindungen für FHIR-Endpunkte."
😭

Gruss Alex

Content-ID: 41393536158

Url: https://administrator.de/contentid/41393536158

Ausgedruckt am: 21.11.2024 um 13:11 Uhr