Microsoft: Azure-LĂĽcke mit bislang unklarem Status ist bereits geschlossen

Der Patch-Status einer SicherheitslĂĽcke in Microsofts Azure blieb unklar. Microsoft hat sie bereits geschlossen, teilt das Unternehmen nun mit.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Stilisierte Grafik: zersplitterter Sicherheitsschild auf einem Laptop

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Ende vergangener Woche wurden Details zu einer SicherheitslĂĽcke in Microsofts Azure bekannt. Sie erlaubte Angreifern eine Supply-Chain-Attacke, bei der sie die Anmeldung bei Azure umgehen und beliebigen Code ausfĂĽhren konnten. Nachdem der Patch-Status bislang unklar war, hat Microsoft heise online nun mitgeteilt, dass die LĂĽcke bereits geschlossen wurde.

Die Schwachstelle hatte Trend Micros Zeor Day Initiative (ZDI) vergangene Woche beschrieben. Sie hat zwar keinen eigenen CVE-Eintrag erhalten, der Schweregrad ist jedoch kritisch bei einem CVSS-Wert von 10 (von 10 maximal möglichen Punkten). Ohne vorherige Authentifizierung konnten Angreifer sie missbrauchen und die Anmeldung von Azure umgehen. Ursächlich war ein Fehler in den Berechtigungen, die ein sogenannter SAS-Token erhalten habe. Konkrete Angriffsszenarien hat die ZDI nicht skizziert. Jedoch sollen Angreifer so Schadcode auf Endpoints verfrachten, also eine Lieferkettenattacke ausführen können.

Im Oktober 2023 hatten die ZDI-Analysten Microsoft über die Lücke informiert. Sie gaben zudem an, dass ein Patch bereits existiere – in Microsoft Security Update Guide fand sich jedoch nichts Entsprechendes, weshalb der Patch-Status unklar war. Das BSI weiß bislang auch noch nichts von "Gegenmaßnahmen" gegen die Lücke (Mitigation).

Microsoft hat heise online nun auf Anfrage zum Status der Sicherheitslücke geantwortet. "Dies wurde im November 2023 angegangen und Kunden sind bereits geschützt", sagte ein Microsoft-Sprecher. "Da keine Kunden-Aktionen nötig waren, wurde auch kein CVE-Eintrag angelegt", erläutern die Redmonder weiter.

Es bleibt jedoch weiter unklar, ob es bereits Angriffe auf diese Schwachstelle gab. Immerhin müssen IT-Verantwortliche nicht weiter aktiv werden und können diese Sicherheitslücke auf den Stapel "erledigt" ablegen.

(dmk)