bencede
New member
Şu anda bir tane var “eleştirmen” Microsoft Azure'daki boşluk ortalığı karıştırdı. Güvenlik araştırmacılarının bu güvenlik açığını tanımlama şekline bakılırsa, saldırganlar bunu bir tedarik zinciri saldırısı başlatmak için kullanabilirler. Şu anda bir güvenlik güncellemesinin mevcut olup olmadığı belli değil.
Duyuru
Tehlikeli güvenlik açığı
Trend Micro'nun Zero Day Initiative güvenlik araştırmacıları, güvenlik açığını kısa bir makalede en yüksek puanla (CVSS puanı 10 üzerinden 10) anlatıyor. Açıkçası henüz bir CVE numarası yok.
Saldırganların kimlik doğrulaması olmadan bu güvenlik açığından uzaktan yararlanabilmesi gerektiğini söylüyorlar. Bir saldırı işe yararsa Azure günlük kaydı atlanabilir. Hata, SAS belirtecine verilen izinler dahilindedir. Araştırmacılar şu anda belirli saldırıların nasıl görünebileceğine dair ayrıntılı bilgi vermiyor.
Microsoft'un Azure bulut bilişim platformundaki bu konumda, saldırganların tedarik zinciri saldırısının bir parçası olarak müşterilerin uç nokta sistemlerinde kötü amaçlı kod çalıştırabilecekleri söyleniyor.
Karşı önlemler?
Güvenlik araştırmacıları, açığı Ekim 2023'te Microsoft'a açıkladıklarını söyledi. Boşluğa ilişkin ayrıntılar artık yayınlandı. Zaten bir güvenlik yamasının olması gerektiğini iddia ediyorlar. Daha fazla bilgi için Microsoft Güvenlik Güncelleştirmesi Kılavuzu'na bakın. Ama güncellemeyle ilgili bir şey yok.
Federal Bilgi Güvencesi Dairesi'nin (BSI) CERT Bund acil durum ekibi, güvenlik sorununa hâlâ bir çözüm (hafifletme) bulunmadığını söylüyor. Haberler Security'nin Microsoft'a yaptığı talebe verilen yanıt şu anda beklemede.
Sonuç olarak yöneticilerin sistemlerini olası saldırılardan nasıl koruyabilecekleri hala belirsizliğini koruyor. Saldırıların olup olmadığı henüz belli değil.
(İtibaren)
Haberin Sonu
Duyuru
Tehlikeli güvenlik açığı
Trend Micro'nun Zero Day Initiative güvenlik araştırmacıları, güvenlik açığını kısa bir makalede en yüksek puanla (CVSS puanı 10 üzerinden 10) anlatıyor. Açıkçası henüz bir CVE numarası yok.
Saldırganların kimlik doğrulaması olmadan bu güvenlik açığından uzaktan yararlanabilmesi gerektiğini söylüyorlar. Bir saldırı işe yararsa Azure günlük kaydı atlanabilir. Hata, SAS belirtecine verilen izinler dahilindedir. Araştırmacılar şu anda belirli saldırıların nasıl görünebileceğine dair ayrıntılı bilgi vermiyor.
Microsoft'un Azure bulut bilişim platformundaki bu konumda, saldırganların tedarik zinciri saldırısının bir parçası olarak müşterilerin uç nokta sistemlerinde kötü amaçlı kod çalıştırabilecekleri söyleniyor.
Karşı önlemler?
Güvenlik araştırmacıları, açığı Ekim 2023'te Microsoft'a açıkladıklarını söyledi. Boşluğa ilişkin ayrıntılar artık yayınlandı. Zaten bir güvenlik yamasının olması gerektiğini iddia ediyorlar. Daha fazla bilgi için Microsoft Güvenlik Güncelleştirmesi Kılavuzu'na bakın. Ama güncellemeyle ilgili bir şey yok.
Federal Bilgi Güvencesi Dairesi'nin (BSI) CERT Bund acil durum ekibi, güvenlik sorununa hâlâ bir çözüm (hafifletme) bulunmadığını söylüyor. Haberler Security'nin Microsoft'a yaptığı talebe verilen yanıt şu anda beklemede.
Sonuç olarak yöneticilerin sistemlerini olası saldırılardan nasıl koruyabilecekleri hala belirsizliğini koruyor. Saldırıların olup olmadığı henüz belli değil.
(İtibaren)
Haberin Sonu