Microsoft'un internet tabanlı bir veri depolama hizmeti olan (bulut teknolojisi) Microsoft Azure’da 4 yıllık bir güvenlik açığı tespit edildi. Şirket, konu üzerine ilk açıklamasını yayınladı.
Bulut güvenlik şirketi Wiz’in, Microsoft Azure’da “NotLegit” olarak adlandırılan bir hatayı keşfetti. Microsoft, konu ile ilgili ilk açıklamasında güvenlik açığından etkilenebilecek müşterilerini uyarırken sorunun kaynağı ve çözümü hakkında bilgi verdi.
Güvenlik önerileri güncellendi
Microsoft’un Güvenlik Merkezi, Wiz tarafından yapılan Koordineli Güvenlik Açığı açıklamasıyla müşterilerinin verilerini riske atabilecek bir sorun ile karşılaşılabileceğini duyurdu. Şirket, Azure uygulaması ile statik içerik sunmak üzere yapılandırılmış bir uygulamanın birleştirilmesi sonucunda, kullanıcıların verilerine başkalarının erişmesinin mümkün olabileceğini belirtti. Sorunun çözümüne yönelik düzeltmenin Kasım ayında dağıtıldığını ve ardından müşterilere bilgi verildiğini bildirdi. Ayrıca risk altında olan verilerin güvence altına alınabilmesi için müşterilerle birlikte çalışmaya devam edeceklerini açıkladı.
Microsoft yaptığı açıklamayla, sorunun içerik kök dizininde dosyalar oluşturulduktan veya değiştirildikten sonra Yerel Git’i kullanarak uygulamaları dağıtan App Servise Linux müşterilerinin etkilendiğini açıkladı. Tespit edilen güvenlik açığının kaynağının sistemin şu anda dağıtılan dosyaları depo içeriğinin bir parçası olarak korumaya çalışması ve dağıtım moturu 'Kudu' tarafından yerinde dağıtımlar olarak adlandırılanları etkinleştirmesi olduğunu belirtti. Teknoloji şirketi, Güvenlik Önerileri belgesini kaynak kodunun güvenliğine ilişkin ek bir bölümle güncelledi. Wiz araştırma ekibi, Microsoft’a sorunu ilk olarak 7 Ekim’de bildirdiğini ve o zamandan bu yana sorunu çözmek için şirketle birlikte çalıştıklarını ifade etti. Güvenlik şirketine hata tespitinin karşılığında 7.500 dolarlık bir ödül verildi.
