2021-09-27 14:31

微软Azure虚拟机被利用来用僵尸网络恶意软件感染用户

导读不出所料,在微软在最近的9月补丁星期二发布中公开披露和修补这些关键的Azure漏洞后不久,威胁行为者就开始积极利用这些漏洞。BleepingComp

不出所料,在微软在最近的9月补丁星期二发布中公开披露和修补这些关键的Azure漏洞后不久,威胁行为者就开始积极利用这些漏洞。BleepingComputer报告说,安全研究员GermánFernández上周发现了第一次攻击,随后网络安全供应商GreyNoise和BadPackets证实了这一点。

这四个提权和远程代码执行漏洞是在开放管理基础设施(OMI)软件代理中发现的,当用户启用某些Azure服务时,该软件代理会自动部署在Linux虚拟机(VM)内。

我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间,如果您能与我们分享您的经验,我们将不胜感激。

然而,令人惊讶的是,微软没有修补所有受影响的Azure服务,而是发布了一份公告,指出虽然它将更新其中的六个,但其他七个必须由用户自己更新。

OMI漏洞是由Wiz的研究人员发现的,他们估计它们影响了数百万个端点的数千名Azure客户。

“使用单个数据包,攻击者只需删除身份验证标头即可成为远程机器上的root。就这么简单,”Wiz研究员Nir​​Ohfeld分享道,并补充说四个漏洞之一(跟踪为CVE-2021-38647)可以被利用以针对Azure。

难怪,GreyNoise已经在跟踪攻击者扫描Internet以查找易受CVE-2021-38647攻击的暴露AzureLinuxVM。

其他安全研究人员,例如KevinBeaumont,他们的易受攻击的蜜罐已经被加密矿工破坏了。

奇怪的是,虽然微软已经修补了这些漏洞,但该公司分享说,它仍在向其云客户推出一些可妥协服务的更新。

“客户必须更新其云和本地部署的易受攻击的扩展,因为更新按照下表列出的时间表可用......”阅读微软的公告-令安全研究人员懊恼不已。