Η Microsoft διόρθωσε τέσσερα κρίσιμα ελαττώματα που επηρεάζουν βασικές υπηρεσίες cloud, όπως τα Azure DevOps, Azure Automation, Azure Storage και Microsoft Power Apps.
Δείτε επίσης: Η Oracle επιβεβαιώνει την παραβίαση του Cloud στους πελάτες
Αυτές οι σοβαρές ευπάθειες, που αποκαλύφθηκαν στις 9 Μαΐου 2025, θα μπορούσαν ενδεχομένως να επιτρέψουν σε επιτιθέμενους να αποκτήσουν αυξημένα δικαιώματα πρόσβασης και να θέσουν σε κίνδυνο cloud περιβάλλοντα. Ωστόσο, η Microsoft επιβεβαιώνει ότι καμία από αυτές δεν έχει αξιοποιηθεί ενεργά. Οι ευπάθειες αυτές αναδεικνύουν τη συνεχώς αυξανόμενη πολυπλοκότητα και διασύνδεση των cloud πλατφορμών, υπογραμμίζοντας την ανάγκη για ισχυρά μέτρα ασφαλείας και συνεχή παρακολούθηση.
Η πιο σοβαρή ευπάθεια, με κωδικό CVE-2025-29813, έλαβε το μέγιστο σκορ 10,0 στο σύστημα CVSS και επηρέαζε το Azure DevOps pipelines.
Αυτό το κρίσιμο ελάττωμα ανύψωσης προνομίων επέτρεπε σε επιτιθέμενους με πρόσβαση σε επίπεδο έργου να ανταλλάσσουν προσωρινά tokens εργασιών pipeline με μακροπρόθεσμα tokens, επεκτείνοντας ουσιαστικά την πρόσβασή τους σε ολόκληρα περιβάλλοντα έργων.
Οι μηχανικοί της Microsoft εντόπισαν τη βασική αιτία στο πώς το Visual Studio χειρίζεται εσφαλμένα τα tokens εργασιών pipeline και εφάρμοσαν διόρθωση στη λογική διαχείρισης των tokens ώστε να αποτραπεί η ανύψωση προνομίων.
Οι υπηρεσίες Azure Automation επηρεάστηκαν από το ελάττωμα CVE-2025-29827 (βαθμολογία CVSS 9,9), όπου ανεπαρκείς έλεγχοι εξουσιοδότησης επέτρεπαν σε αυθεντικοποιημένους χρήστες να αυξήσουν τα δικαιώματά τους μέσω δικτύου.
Δείτε ακόμα: Η Cloudflare ανακοινώνει το OpenPubkey SSH
Η ευπάθεια αυτή ενείχε ιδιαίτερους κινδύνους σε περιβάλλοντα πολλαπλών ενοικιαστών (multi-tenant), καθώς εκμεταλλευόταν αδυναμίες στο πλαίσιο εξουσιοδότησης, βασισμένες στο CWE-285 (Ανεπαρκής Εξουσιοδότηση).
Ένα ακόμα κρίσιμο ελάττωμα, με κωδικό CVE-2025-29972 (βαθμολογία CVSS 9,9), εκμεταλλευόταν διανύσματα παραποίησης αιτημάτων από την πλευρά του διακομιστή (SSRF) στο Azure Storage Resource Provider.
Αυτή η ευπάθεια τύπου spoofing επέτρεπε σε εξουσιοδοτημένους επιτιθέμενους να δημιουργούν αιτήματα που προσποιούνταν άλλα συστήματα ή χρήστες, γεγονός που μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε δεδομένα.
Η τέταρτη ευπάθεια, CVE-2025-47733 (βαθμολογία CVSS 9,1), επηρέαζε τα Microsoft Power Apps και θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους επιτιθέμενους να αποκαλύψουν ευαίσθητες πληροφορίες μέσω τεχνικών SSRF.
Σε αντίθεση με τις υπόλοιπες ευπάθειες, αυτή δεν απαιτούσε προηγούμενη αυθεντικοποίηση, γεγονός που αύξανε σημαντικά την πιθανή επίπτωσή της σε περίπτωση που δεν αντιμετωπιζόταν άμεσα.
Δείτε επίσης: Η ευπάθεια BadRAM θέτει δεδομένα Cloud σε κίνδυνο
Κάτι σχετικό με τα παραπάνω είναι το γεγονός ότι οι ευπάθειες τύπου SSRF (Server-Side Request Forgery) γίνονται ολοένα και πιο διαδεδομένες σε περιβάλλοντα cloud, καθώς επιτρέπουν στους επιτιθέμενους να “ξεγελάσουν” τον διακομιστή ώστε να κάνει αιτήματα εκ μέρους τους, συχνά προς εσωτερικές υπηρεσίες που διαφορετικά δεν θα ήταν προσβάσιμες. Στο πλαίσιο πολυενοικιαζόμενων (multi-tenant) πλατφορμών όπως το Azure, τέτοιου είδους ελαττώματα αποκτούν ακόμη μεγαλύτερη σοβαρότητα, γιατί μπορούν να οδηγήσουν σε παραβίαση της απομόνωσης μεταξύ πελατών, κάτι που αποτελεί θεμέλιο της ασφάλειας στο cloud.
Πηγή: cybersecuritynews
