Tags populares:
Virtualização segurança DNS verificação formal análise de alcance IA erros do compilador conflito de macro extensão web framework de desenvolvimento Gráficos de Bitmap Todos os tags

Vulnerabilidades Críticas no Azure: Funções com Permissões Excessivas e Vazamento de Chave VPN

2025-07-02
Vulnerabilidades Críticas no Azure: Funções com Permissões Excessivas e Vazamento de Chave VPN

Pesquisadores de segurança descobriram várias funções internas do Azure configuradas incorretamente, concedendo permissões excessivas. Combinado com uma vulnerabilidade na API do Azure que permite vazamentos de chaves VPN, isso cria uma cadeia de ataque que permite que um usuário com privilégios baixos acesse ativos de nuvem internos e redes locais. A pesquisa detalha o processo de descoberta, as implicações e as estratégias de mitigação. Dez funções internas foram consideradas com privilégios excessivos, enquanto a vulnerabilidade de vazamento de chave VPN foi corrigida pela Microsoft. As recomendações incluem auditoria das funções problemáticas, uso de escopos limitados e criação de funções personalizadas com permissões granulares.

Leia mais
(www.token.security)
Tecnologia Escalada de Privilégios Vazamento de Chave VPN

Falha crítica na ferramenta da AWS: Vulnerabilidade de escalada de privilégios

2025-05-05
Falha crítica na ferramenta da AWS: Vulnerabilidade de escalada de privilégios

A empresa de segurança Token Security descobriu uma vulnerabilidade crítica na ferramenta Account Assessment da AWS. Projetada para auditar o acesso entre contas, suas instruções de implantação inadvertidamente incentivaram os usuários a implantar o papel central em contas menos seguras (como desenvolvimento), criando caminhos de confiança perigosos de ambientes inseguros para ambientes altamente sensíveis (como produção). Isso permitiu a escalada de privilégios, potencialmente concedendo aos atacantes controle sobre toda a organização da AWS. A AWS corrigiu o problema em 28 de janeiro de 2025, atualizando a documentação para recomendar a implantação do papel central em uma conta tão segura quanto a conta de gerenciamento. As organizações afetadas devem verificar suas implantações e remediá-las de acordo.

Leia mais
(www.token.security)
Tecnologia Segurança da AWS Escalada de privilégios Acesso entre contas

Rastreando a Propriedade de Identidades Não Humanas Geradas por IaC

2025-04-09
Rastreando a Propriedade de Identidades Não Humanas Geradas por IaC

Ferramentas de Infraestrutura como Código (IaC) permitem a criação rápida de inúmeras identidades não humanas (NHIs) em ambientes em nuvem. No entanto, rastrear os proprietários dessas NHIs geradas por IaC representa um desafio significativo. Este post de blog explora uma abordagem baseada em tags, adicionando tags ao código Terraform para rastrear arquivos envolvidos na criação de recursos e, assim, identificar os proprietários de NHI. Embora essa abordagem enfrente obstáculos práticos, como herança de tags e compatibilidade entre plataformas, ela oferece uma solução potencial para problemas de propriedade de NHI geradas por IaC e auxilia as equipes de DevOps a rastrear e gerenciar melhor suas identidades IaC.

Leia mais
(www.token.security)
Desenvolvimento