Microsoft on vahvistanut useiden kriittisten turvallisuus haavoittuvuuksien olemassaolon, joka vaikuttaa sen ydinpilvipalveluihin, mukaan lukien sellainen, joka on saanut maksimaalisen yleisen haavoittuvuuden pisteytysjärjestelmän (CVSS) vakavuusluokituksen 10,0.
Näiden virheiden kriittisestä luonteesta huolimatta Microsoft raportoi, että mitään vahvistettuja haavoittuvuuksia ei tiedetä, että se on käytetty luonnossa, eikä ketään ollut julkisesti paljastettu ennen niiden vahvistamista. Tärkeää on, että käyttäjien ei tarvitse ryhtyä toimiin suojautuakseen näiltä haavoittuvuilta, koska Microsoft on jo toteuttanut lieventämisen.
Microsoft on vahvistanut yhteensä neljä pilviturvallisuusheikkousta. Näitä ovat CVE-2015-29813, Azure DevOps -korotus etuoikeuden haavoittuvuuden korotuksella CVSS-luokituksella 10,0; CVE-2025-29972, Azure Storage Resource -palveluntarjoajan huijaus haavoittuvuus, jonka luokitus on 9,9; CVE-2025-29827, Azure Automationin etuoikeuden haavoittuvuuden korkeus myös 9,9; ja CVE-2025-47733, Microsoft Power Apps -tietojen paljastamishaavoittuvuus 9.1-luokituksella.
Vakavin haavoittuvuus, CVE-2025-29813, on Azure DevOps -putkilinjan kaappausongelma. Microsoft selitti, että se johtuu Visual Studiosta, joka käsittelee virheellisesti putkilinjan työtunnuksia. ”Tämän haavoittuvuuden hyödyntämiseksi”, Microsoft sanoi, ”hyökkääjällä on ensin oltava pääsy projektiin ja vaihdettava lyhytaikainen merkki pitkäaikaiselle”, mahdollisesti laajentamalla heidän pääsyä.
CVE-2025-29972, Azure Storage Resource -palveluntarjoajan huijaava haavoittuvuus, on Azure-palvelinpuolen pyynnön väärentämisvirhe. Microsoft totesi, että tämä voisi antaa valtuutetulle hyökkääjälle mahdollisuuden suorittaa ”huijaus” verkossa, mikä mahdollistaa onnistuneen uhka -näyttelijän jakaa haitallisia pyyntöjä, jotka imevät laillisia palveluita ja käyttäjiä.
Azure Automationin etuoikeuden haavoittuvuuden korotus, CVE-2015-29827, johtuu Azure-automaation vääristä valtuutuskysymyksistä. Menestyvä hyväksikäyttö voisi antaa hakkerille nostaa etuoikeuksia verkossa.
Neljäs haavoittuvuus, CVE-2015-47733, vaikuttaa Microsoft Power -sovelluksiin ja on tiedon julkistamisvirhe. Tämä palvelinpuolen pyynnön väärentäminen voi antaa hyökkääjälle mahdollisuuden paljastaa tietoja verkon kautta.
Microsoft on korostanut, että yritys on jo vähentänyt kaikkia näitä haavoittuvuuksia. ”Microsoft on jo lieventänyt tätä haavoittuvuutta. Tämän palvelun käyttäjille ei ole mitään toimia”, Microsoft sanoi jokaisesta pilviturvallisuuskysymyksestä.
Nämä tiedot ovat osa laajempaa sitoutumista avoimuuteen. Microsoft Security Response Center (MSRC) ilmoitti 27. kesäkuuta 2024 sitoutumisestaan parempaan läpinäkyvyyteen pilvien yleisten haavoittuvuuksien ja valotusten (CVES) suhteen, yksityiskohtaisesti pilvipalvelun CVES: lle, kun ne on korjattu sisäisesti.
Aikaisemmin Microsoft totesi, että ”pilvipalvelujen tarjoajat pidättäytyivät paljastamasta tietoja pilvipalveluista löydetyistä ja ratkaisemista, ellei asiakastoimenpiteitä vaadita.” Microsoft vahvisti kuitenkin nyt tunnustavan täydellisen läpinäkyvyyden arvon: ”Annamme CVES: n kriittisille pilvipalvelujen haavoittuvuuksille riippumatta siitä, onko asiakkaiden asennettava korjaustiedosto vai ryhdyttävä muihin toimiin itsensä suojaamiseksi.”
Tämä läpinäkyvyysaloite on yhdenmukainen Microsoftin turvallisen tulevaisuuden aloitteen kanssa, joka asettaa etusijalle uusien identiteetin suojausten toteuttamisen, läpinäkyvyyden parantamisen ja nopeamman haavoittuvuuden vastauksen varmistamisen. ”Kun teollisuutemme kypsyy ja siirtyy yhä enemmän pilvipohjaisiin palveluihin”, Microsoft totesi, ”meidän on oltava avoimia merkittävien kyberturvallisuuden haavoittuvuuksien suhteen, jotka löytyvät ja kiinteät.”
Google on myös tehnyt samanlaisen siirtymisen kohti lisääntynyttä pilvien haavoittuvuuden läpinäkyvyyttä. Google ilmoitti 12. marraskuuta 2024 laajentavansa CVE -ohjelmaansa antaakseen CVES: n kriittisille Google Cloud -haavoille, vaikka asiakastoimia ei tarvita. Google Cloudin tietoturvapäällikkö Phil Venables sanoi tuolloin: ”Läpinäkyvyys ja yhteinen toiminta, oppia ja lieventää kokonaisia haavoittuvuusluokkia, on tärkeä osa huonojen toimijoiden torjumista.”
Tämä tarina julkaistiin alun perin 9. toukokuuta 2025, ja se päivitettiin 11. toukokuuta 2025, jotta se olisi lisätietoja sekä Microsoftin että Googlen pilvi CVE: n läpinäkyvyysliikkeistä.
Source: Microsoft vahvistaa kriittiset pilvivalot; ei tarvita toimenpiteitä
