Azure自动化托管身份令牌漏洞披露

2021年12月10日，微软缓解了Azure自动化服务中的一个漏洞。使用托管身份令牌进行授权以及使用Azure沙箱进行作业运行时和执行的Azure自动化账户可能受到影响。微软未检测到令牌被滥用的证据。

微软已通知受影响的自动化账户客户。微软建议遵循此处的Azure自动化服务安全最佳实践。

漏洞描述

Azure自动化作业可以获取托管身份令牌以访问Azure资源。令牌访问范围在自动化账户的托管身份中定义。由于该漏洞，在Azure沙箱中运行自动化作业的用户可能获取其他自动化作业的托管身份令牌，从而允许访问自动化账户托管身份内的资源。

注意：使用自动化混合工作器执行和/或使用自动化运行方式账户访问资源的自动化账户不受影响。

缓解措施描述

该漏洞由Orca Security于2021年12月6日向微软报告。微软于2021年12月10日通过阻止除具有合法访问权限的沙箱环境外的所有沙箱环境对托管身份令牌的访问来缓解了该问题。

我们要感谢Orca Security的Yanir Tsarimi报告此漏洞，并与微软安全响应中心（MSRC）在协调漏洞披露（CVD）下合作，帮助保护微软客户的安全。

MSRC团队