Microsoft potwierdził istnienie wielu krytycznych luk w zabezpieczeniach wpływających na jego podstawowe usługi w chmurze, w tym taką, która otrzymała maksymalną powszechną ocenę nasilenia scenariusza podatności (CVSS) wynoszącą 10,0.
Pomimo krytycznego charakteru tych wad, Microsoft donosi, że żadna z potwierdzonych luk w zabezpieczeniach nie została wykorzystywana na wolności i żaden nie został publicznie ujawniony przed ich potwierdzeniem. Co ważne, użytkownicy nie muszą podejmować żadnych działań, aby chronić się przed tymi lukami, ponieważ Microsoft wdrożył już łagodzenie.
Microsoft potwierdził w sumie cztery luki w zakresie bezpieczeństwa w chmurze. Obejmują one CVE-2025-29813, wzniesienie podatności na przywileju Azure DevOps z oceną CVSS wynoszącą 10,0; CVE-2025-29972, dostawca zasobów magazynowych platformy Azure Compoofing podatność na podatność na poziomie 9,9; CVE-2025-29827, Automatyzacja Azure Automation podatność na przywileje również oceniła 9,9; oraz CVE-2025-47733, Microsoft Power Apps Information Information Information Disclosureable z oceną 9,1.
Najsilniejszą luką, CVE-2025-29813, jest problem z porwaniem tokena Azure DevOps. Microsoft wyjaśnił, że wynika to z Visual Studio niewłaściwe obsługujące tokeny pracy rurociągów. „Aby wykorzystać tę podatność”-powiedział Microsoft, „atakujący musiałby najpierw mieć dostęp do projektu i zamienić krótkoterminowy token na długoterminowy”, potencjalnie rozszerzając ich dostęp.
CVE-2025-29972, dostawca zasobów Azure Storage, podatność na podatność na podatność, jest wadą fałszerstwa żądania po serwerze Azure. Microsoft stwierdził, że może to pozwolić autoryzowanemu napastnikowi wykonywać „fałszowanie” przez sieć, umożliwiając udanego aktora zagrożenia rozpowszechnianie złośliwych żądań, które podszywają się pod uzasadnione usługi i użytkowników.
Automatyzacja Azure Automation podatności na przywilej, CVE-2025-29827, wynika z niewłaściwego problemu autoryzacji w Azure Automation. Udany exploit może pozwolić hakerowi na podniesienie uprawnień w całej sieci.
Czwarta luka, CVE-2025-47733, wpływa na aplikacje Microsoft Power i jest wadą ujawnienia informacji. Ta podatność na fałszerstwo z żądaniem po stronie serwera może pozwolić atakującemu ujawnić informacje w sieci.
Microsoft podkreślił, że wszystkie te luki zostały już w pełni złagodzone przez firmę. „Ta podatność ta została już w pełni złagodzona przez Microsoft. Nie ma żadnych działań dla użytkowników tej usługi”, powiedział Microsoft w sprawie każdego z problemów bezpieczeństwa w chmurze.
Ujawnienia te są częścią szerszego zaangażowania w przejrzystość. 27 czerwca 2024 r. Microsoft Security Response Center (MSRC) ogłosiło zobowiązanie do większej przejrzystości w zakresie powszechnych luk i ekspozycji w chmurze (CVE), szczegółowo opisując COM COMS CVE po ich załataniu.
Wcześniej Microsoft zauważył: „Dostawcy usług w chmurze powstrzymali się od ujawniania informacji o zagrożeniach znalezionych i rozwiązanych w usługach w chmurze, chyba że wymagane były działanie klienta”. Jednak przy obecnie rozpoznanej wartości pełnej przejrzystości Microsoft potwierdził: „Wydamy CVE dla krytycznych luk w zakresie usług w chmurze, niezależnie od tego, czy klienci muszą zainstalować łatkę, czy podjąć inne działania w celu ochrony siebie”.
Ta inicjatywa przejrzystości jest zgodna z inicjatywą Microsoft Secure Future Initiative, która priorytetuje wdrażanie nowych zabezpieczeń tożsamości, zwiększenie przejrzystości i zapewnienie szybszej reakcji podatności. „W miarę jak nasza branża dojrzewa i coraz częściej migruje do usług w chmurze”, stwierdził Microsoft, „musimy być przejrzyste w kwestii znacznych luk w zakresie bezpieczeństwa cybernetycznego, które są znalezione i ustalone”.
Google dokonał również podobnego ruchu w kierunku zwiększonej przejrzystości wrażliwości w chmurze. 12 listopada 2024 r. Google ogłosił, że rozszerzy swój program CVE, aby wydać CVE dla krytycznych luk w chmurze Google, nawet jeśli nie są potrzebne działania klienta. Phil Venables, dyrektor ds. Bezpieczeństwa informacji Google Cloud, powiedział wówczas: „przejrzystość i wspólne działanie, uczenia się i łagodzenia całej klasy podatności, jest istotną częścią przeciwdziałania złych aktorów”.
Ta historia została pierwotnie opublikowana 9 maja 2025 r. I została zaktualizowana 11 maja 2025 r., Aby zawierać więcej szczegółów na temat ruchów przezroczystości CVE CVE zarówno przez Microsoft, jak i Google.
Source: Microsoft potwierdza krytyczne luki w chmurze; Brak działania
