Kritische Sicherheitslücke in Azure API Connections ermöglicht Rechteerweiterung und Geheimnisdiebstahl
2025-03-12
Sicherheitsforscher von Binary Security haben undokumentierte APIs in Azure API Connections entdeckt, die eine Rechteerweiterung und den Diebstahl von Geheimnissen aus Backend-Ressourcen wie Key Vaults, Storage Blobs, Defender ATP und sogar Unternehmens-Jira- und Salesforce-Servern ermöglichen. Die Schwachstelle liegt in der Möglichkeit jedes Benutzers mit Leserechten für eine API-Verbindung, beliebige definierte GET-Anfragen aufzurufen, wodurch Sicherheitskontrollen umgangen und auf sensible Daten zugegriffen werden kann. Microsoft hat die Schwachstelle bestätigt und behoben.