Wiz รายงานถึงความผิดพลาดของนักวิจัยของไมโครซอฟท์ ที่แชร์ไฟล์ผ่านลิงก์ไปยัง Azure Blob เพื่อแชร์ไฟล์ฝึกปัญญาประดิษฐ์ แต่ลิงก์นั้นกลับสามารถเข้าถึงสตอเรจได้ทั้ง bucket ส่งผลให้ไฟล์ที่ไม่เกี่ยวข้องจำนวนมากหลุดไปด้วย
ใน bucket นั้นมีการสำรองข้อมูลจากคอมพิวเตอร์ของพนักงานไมโครซอฟท์ 2 เครื่อง ภายในมีข้อมูลสำคัญ เช่น ไฟล์กุญแจล็อกอิน secureshell, ล็อกอิน git, โทเค็นล็อกอิน Azure ML
ข้อมูลหลุดครั้งนี้ไม่ใช่โทเค็นตามปกติ แต่เป็น Shared Access Signature (SAS) ลิงก์พิเศษสำหรับแชร์ไฟล์ได้โดยง่าย ปัญหาสำคัญคือ SAS นั้นจัดการยากมากเพราะไม่มีหน้าจอแสดงว่ามีการสร้างลิงก์ไปมากน้อยแค่ไหน และมีระบุเวลาหมดอายุลิงก์ดีพอหรือไม่ ทางเดียวที่ทำได้คือการเปิด log สตอเรจทั้งหมดเพื่อตรวจสอบว่ามีการใช้งานลิงก์เหล่านี้อย่างผิดปกติหรือไม่
ทาง Wiz ตรวจพบลิงก์นี้ตั้งแต่กลางปีที่ผ่านมา และไมโครซอฟท์ก็ปิดลิงก์นี้ภายในสองวันหลังได้รับแจ้ง ทาง Wiz รอการสอบสวนผลกระทบภายในจึงเปิดเผยรายงานออกมา
ที่มา - Wiz

on
จักการยากมาก จัดการยากมาก
Azymik Mon, 18/09/2023 - 23:47
จัดการยากมาก
SAS Token จัดการยากจริง
naja_return Mon, 18/09/2023 - 23:51
SAS Token จัดการยากจริง
Gen ออกมาแล้วแก้ไม่ได้ทำอะไรไม่ได้เลย
work around ที่พอจะทำได้คือสร้าง Policy ผูกกับ Token เอาไว้ แล้วเราก็ revoke policy เอา
แต่สุดท้ายเราก็ไม่รุ้อยู่ดีกว่า SAS ข้างหลังที่ผูกอยู่กับ Policy มีกี่ตัว
เรื่องนี้ไม่เข้าใจจริงๆ ว่าทำไม Microsoft ไม่ออกแบบการจัดการ SAS Token เลย
ดีนะผมเปลี่ยนหลอดไฟแล้ว /ผิด
mr_tawan Tue, 19/09/2023 - 21:05
ดีนะผมเปลี่ยนหลอดไฟแล้ว /ผิด