Azure API 漏洞泄露VPN密钥

安全研究人员近日发现，微软 Azure的基于角色的访问控制系统被发现存在严重的安全漏洞，可能使企业网络遭受未经授权的访问。过度特权的内置角色和API实现缺陷的组合为试图破坏云基础设施和内部网络的恶意行为者创建了危险的攻击媒介。该发现涵盖十个 Azure 内置角色，这些角色包含有问题的权限，实际上授予用户访问9,618个不同Azure操作的权限。攻击者可以利用看似权限有限的身份进行侦察，然后利用VPN密钥泄漏来获取网络访问权限。目前研究仍在继续当中。