Azure内置角色权限配置错误及VPN密钥泄露漏洞
2025-07-02
安全研究人员发现多个Azure内置角色权限配置错误,赋予了比预期更多的权限,攻击者可利用此漏洞结合Azure API中的VPN密钥泄露漏洞,通过一个弱用户账号访问内部云资产和本地网络。研究人员详细介绍了发现过程、影响和组织如何防范此类威胁。其中,10个内置角色存在过度权限问题,而VPN密钥泄露漏洞已被微软修复。研究人员建议审核问题角色的使用、使用特定和有限的范围,以及构建自定义角色来提高安全性。