Microsoft подтвердила существование множественных критических уязвимостей безопасности, влияющих на его основные облачные сервисы, в том числе тот, который получил максимальный рейтинг тяжести общей системы оценки уязвимости (CVSS) 10.0.
Несмотря на критический характер этих недостатков, Microsoft сообщает, что ни одна из подтвержденных уязвимостей не была использована в дикой природе, и ни одна из них не была публично раскрыта до их подтверждения. Важно отметить, что пользователям не нужно предпринимать никаких действий, чтобы защитить себя от этих уязвимостей, поскольку Microsoft уже реализовала смягчения.
В общей сложности четыре уязвимости облачной безопасности были подтверждены Microsoft. К ним относятся CVE-2025-29813, Azure DevOps повышение уязвимости привилегий с рейтингом CVSS 10,0; CVE-2025-29972, поставщик ресурсов для хранения Azure, уязвимый уязвимость, оцененный 9,9; CVE-2025-29827, высота уязвимости привилегий Azure Automation также оценивается 9,9; и CVE-2025-47733, уязвимость информации о раскрытии информации Microsoft Power с рейтингом 9,1.
Самая серьезная уязвимость, CVE-2025-29813, является проблемой углубления токена Azure DevOps. Microsoft объяснила, что это связано с Visual Studio неправильно обрабатывать токены работы трубопровода. «Чтобы использовать эту уязвимость,-сказала Microsoft,-атакующий сначала должен иметь доступ к проекту и обмениваться краткосрочным токеном на долгосрочный», потенциально расширяя их доступ.
CVE-2025-29972, уязвимость поставщика ресурсов для хранения Azure, является уязвимостью для подделки подделки запроса на стороне сервера Azure. Microsoft заявила, что это может позволить уполномоченному злоумышленнику выполнять «подделка» по сети, что позволит успешному актеру угрозы распространять вредоносные запросы, которые выдают законные услуги и пользователей.
Повышение уязвимости привилегий Azure, CVE-2025-29827, обусловлена неправильной проблемой авторизации в автоматизации Azure. Успешный эксплойт может позволить хакеру поднять привилегии по всей сети.
Четвертая уязвимость, CVE-2025-47733, влияет на приложения Microsoft Power и является недостатком раскрытия информации. Эта уязвимость на стороне запроса на стороне сервера может позволить злоумышленнику раскрывать информацию по сети.
Microsoft подчеркнула, что все эти уязвимости уже были полностью смягчены компанией. «Эта уязвимость уже была полностью смягчена Microsoft. Для пользователей этой службы нет никаких действий», – сказала Microsoft по каждой из проблем облачной безопасности.
Эти раскрытия являются частью более широкой приверженности прозрачности. 27 июня 2024 года Центр реагирования на безопасность Microsoft (MSRC) объявил о приверженности большей прозрачности в отношении общих уязвимостей и воздействий облака (CVES), подробно описывая CVES Service, как только они были исправлены внутри.
Ранее Microsoft отмечала, «поставщики облачных услуг воздерживались от раскрытия информации об уязвимости, найденных и разрешенных в облачных сервисах, если не требовалось действия клиента». Тем не менее, в связи с тем, что в настоящее время Microsoft подтвердила, что стоимость полной прозрачности подтвердила: «Мы выпустим CVE для уязвимостей критических облачных услуг, независимо от того, должны ли клиенты установить патч или предпринять другие действия, чтобы защитить себя».
Эта инициатива по прозрачности соответствует инициативе Microsoft Secure Future, которая приоритет внедряет внедрение новой защиты идентификации, повышение прозрачности и обеспечение более быстрого ответа на уязвимость. «По мере того, как наша отрасль развивается и все чаще мигрирует в облачные сервисы,-заявила Microsoft,-мы должны быть прозрачными в отношении значительных уязвимостей кибербезопасности, которые найдены и фиксированы».
Google также сделал аналогичный шаг к повышению прозрачности уязвимости облака. 12 ноября 2024 года Google объявил, что расширит свою программу CVE, чтобы выпустить CVE для критических уязвимостей Google Cloud, даже если никаких действий клиента не требуется. Фил Венейблс, директор Google Cloud по информационной безопасности, сказал в то время: «Прозрачность и общие действия, чтобы учиться и смягчить целые классы уязвимости, является жизненно важной частью противодействия плохим актерам».
Эта история была первоначально опубликована 9 мая 2025 года и была обновлена 11 мая 2025 года, чтобы включить более подробную информацию о прозрачных движениях облака CVE как Microsoft, так и Google.
Source: Microsoft подтверждает критические уязвимости облака; Нет никаких действий
