Check Point Research รายงานถึงช่องโหว่ของชุดซอฟต์แวร์ Azure Stack ที่ใช้สร้างคลาวด์ on-premise ของไมโครซอฟท์โดยมีช่องโหว่รันโค้ดที่ร้ายแรงระดับวิกฤติด้วย

ช่องโหว่ CVE-2019-1372 เป็นช่องโหว่ระดับวิกฤติจากการจัดการความจำบัฟเฟอร์ของ Azure Stack ในส่วนของ Azure App Service ที่ใช้รันโค้ดจากผู้ใช้หลายๆ รายบนโครงสร้างร่วมกัน การจัดการหน่วยความจำผิดพลาดทำให้แฮกเกอร์สามารถรันโค้ดนอก sandbox และได้สิทธิ์ NT AUTHORITY/SYSTEM ในเครื่อง

ส่วนช่องโหว่ CVE-2019-1234 เป็นช่องโหว่ของ DataService ที่เรียกใช้งานได้โดยไม่ต้องล็อกอิน ช่องโหว่เปิดทางให้แฮกเกอร์เข้าถึงข้อมูลของเซิร์ฟเวอร์อื่นที่ใช้งานในคลาวด์เดียวกัน และสามารถดูภาพ screenshot ของเครื่องอื่นๆ ที่ไม่มีสิทธิ์ได้

ไมโครซอฟท์ออกแพตช์แก้ไขช่องโหว่ทั้งสองไปตั้งแต่ปีที่แล้ว

ที่มา - DarkReading, Check Point Research