Microsoft, tanınan Azure bulut hizmetinde kritik bir zafiyetin olduğunu son açıklamasında kabul etti. Bu kusur, tanınmış bir güvenlik yazılım firması olan Descope tarafından “nOAuth” olarak tanımlandı ve Azure Active Directory’nin içinde yer alıyor. Kelam konusu zafiyet, hackerlara yetkisiz olarak üçüncü taraf web sitelerine erişim hakkı sağlar ve bu durum Azure hesaplarının güvenliğini risk altına sokabilir. Hackerların bu zafiyeti kullanabilmek için yönetici ayrıcalıklarına sahip bir Azure hesabı oluşturup, hesabın e-posta adresini hatasız bir kullanıcının e-posta adresiyle değiştirmesi kâfi. “Microsoft ile Oturum Aç” fonksiyonu sayesinde hackerlar, bu tehlike altındaki Azure hesabını kullanarak rahatça üçüncü taraf web sitelerine giriş yapabilir ve makûs niyetli bir formda bu hesabı kullanabilirler.
Bu kusur, Azure kullanıcılarının büyük bir kısmını potansiyel olarak etkileyebilir. Azure Active Directory’deki “nOAuth” zafiyeti, sistem ve kullanıcılar için çeşitli riskleri beraberinde getirir. Bu durum, hackerlara kullanıcı hesaplarına yetkisiz erişim sağlama fırsatı verir ve data ihlallerine, hesapların gasp edilmesine ve hassas bilgilerin manipülasyonuna neden olabilir.
Microsoft Azure bulut servisinde epey kritik bir açık tespit edildi
Tehlikeye atılmış Azure hesapları, üçüncü taraf web sitelerine giriş yapmak üzere kullanılabilir ve bu da bu hizmetleri ve kullanıcılarını riske sokar. Bunun sonuçları ortasında maddi ziyan, prestij kaybı ve olası yasal sonuçlar yer alır. Bu riskleri azaltmak ve kullanıcı hesaplarını ve bilgilerini korumak ismine, Microsoft’un süratli bir biçimde bu zafiyeti gidermesi, güvenlik tedbirlerini artırması ve kullanıcıları bilgilendirmesi kıymetlidir. Kullanıcıların da dikkatli olması ve kuşkulu faaliyetleri bildirmesi, bu zafiyetle başa çıkmada kritik değere sahiptir. Descope’un Baş Güvenlik Sorumlusu Imer Cohen, bu zafiyetin, Microsoft’un kimlik doğrulama dizaynındaki bir yanlıştan kaynaklandığını ve “nOAuth” zafiyetinin ortaya çıkmasına sebep olduğunu söz etti. Bu ihlalin tesiri ciddidir ve büyük bir Azure kullanıcı kitlesini potansiyel olarak etkileyebilir.
Zafiyetin keşfinden sonra Microsoft, yanılgıyı kabul etti ve tüm kullanıcılara bir ihtar yayınlayarak dikkatli olmalarını ve e-posta bilgilerini paylaşmamalarını tavsiye etti.
