Microsoft, tanınan Azure bulut hizmetinde kritik bir zafiyetin olduğunu son açıklamasında kabul etti. Bu kusur, tanınmış bir güvenlik yazılım firması olan Descope tarafından “nOAuth” olarak tanımlandı ve Azure Active Directory’nin içinde yer alıyor. Kelam konusu zafiyet, hackerlara yetkisiz olarak üçüncü taraf web sitelerine erişim hakkı sağlar ve bu durum Azure hesaplarının güvenliğini risk altına sokabilir. Hackerların bu zafiyeti kullanabilmek için yönetici ayrıcalıklarına sahip bir Azure hesabı oluşturup, hesabın e-posta adresini hatasız bir kullanıcının e-posta adresiyle değiştirmesi kâfi. “Microsoft ile Oturum Aç” fonksiyonu sayesinde hackerlar, bu tehlike altındaki Azure hesabını kullanarak rahatça üçüncü taraf web sitelerine giriş yapabilir ve berbat niyetli bir formda bu hesabı kullanabilirler.
Bu kusur, Azure kullanıcılarının büyük bir kısmını potansiyel olarak etkileyebilir. Azure Active Directory’deki “nOAuth” zafiyeti, sistem ve kullanıcılar için çeşitli riskleri beraberinde getirir. Bu durum, hackerlara kullanıcı hesaplarına yetkisiz erişim sağlama fırsatı verir ve data ihlallerine, hesapların gasp edilmesine ve hassas bilgilerin manipülasyonuna neden olabilir.
Microsoft Azure bulut servisinde hayli kritik bir açık tespit edildi
Tehlikeye atılmış Azure hesapları, üçüncü taraf web sitelerine giriş yapmak üzere kullanılabilir ve bu da bu hizmetleri ve kullanıcılarını riske sokar. Bunun sonuçları ortasında maddi ziyan, prestij kaybı ve olası yasal sonuçlar yer alır. Bu riskleri azaltmak ve kullanıcı hesaplarını ve bilgilerini korumak ismine, Microsoft’un süratli bir formda bu zafiyeti gidermesi, güvenlik tedbirlerini artırması ve kullanıcıları bilgilendirmesi değerlidir. Kullanıcıların da dikkatli olması ve kuşkulu faaliyetleri bildirmesi, bu zafiyetle başa çıkmada kritik ehemmiyete sahiptir. Descope’un Baş Güvenlik Sorumlusu Imer Cohen, bu zafiyetin, Microsoft’un kimlik doğrulama dizaynındaki bir yanılgıdan kaynaklandığını ve “nOAuth” zafiyetinin ortaya çıkmasına sebep olduğunu tabir etti. Bu ihlalin tesiri ciddidir ve büyük bir Azure kullanıcı kitlesini potansiyel olarak etkileyebilir.
Zafiyetin keşfinden sonra Microsoft, yanılgıyı kabul etti ve tüm kullanıcılara bir ikaz yayınlayarak dikkatli olmalarını ve e-posta bilgilerini paylaşmamalarını tavsiye etti.
