聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
被暴露的数据包括两名员工的工作站、企业机密、私钥、密码和超过3万条微软Teams 内部消息的磁盘备份。Wiz 公司是在例行扫描配置不当的存储容器时发现的,“我们发现属于微软的一个 GitHub 仓库robust-models-transfer,它是微软AI研发团队所有,目的是为图片识别提供开源代码和AI模型。”
微软在分享文件时,使用了一个Azure 特性 SAS 令牌,可使数据在 Azure Storage 账户之间共享。虽然该访问权限级别仅限于特定的文件,但Wiz 发现该链接被配置为分享整个Storage 账户,其中包括38TB的私密文件。Wiz 公司提到,“通过该URL 不仅可访问开源模型。它配置为具有整个存储账户的访问权限,从而不慎暴露了其它私密数据。我们扫描发现,该账户中包含38TB 其它数据,如微软员工的个人计算机备份等。这些备份中包含敏感的个人数据如微软服务的密码、机密密钥、以及来自359名微软员工的内部Teams 消息。”
除了这些超权限访问范围问题外,Wiz 还发现该令牌也存在配置不当问题,它允许“完全的控制”权限而不仅仅是只读权限,从而导致攻击者能够删除并覆写已有文件。
Wiz 提醒称,“攻击者本可将恶意代码注入到该存储账户下的所有AI模型中,信任微软 GitHub 仓库的每个用户将受到影响。”
该GitHub 的主要功能中也存在安全隐忧。该仓库的任务主要是提供AI训练模型,它的蓝图格式是 “ckpt”。该格式通过 Python 的 pickle 格式创建了广泛使用的 TensforFlow 和 sculpted。Wiz 注意到该格式可成为任意代码执行的关口。
Wiz 指出,微软安全响应团队在今年6月份收到报告的两天内,将SAS 令牌调整为无效。一个月后,微软在 GitHub 上替换了该令牌。
微软发现ncurses 库中的多个漏洞,影响 Linux 和 macOS 系统
https://www.securityweek.com/microsoft-ai-researchers-expose-38tb-of-data-including-keys-passwords-and-internal-messages/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~