كشفت Microsoft أمس الخميس، أنها عالجت زوجًا من المشكلات مع قاعدة بيانات Azure لخادم PostgreSQL المرنة والتي قد تؤدي إلى الوصول غير المصرح به إلى قاعدة البيانات عبر الحسابات في منطقة ما.

قال Microsoft Security Response Center (MSRC) : "من خلال استغلال خطأ كبير في الأذونات في عملية مصادقة الخادم المرن لمستخدم النسخ المتماثل ، يمكن لمستخدم ضار الاستفادة من تعبير عادي مرتبط بشكل غير صحيح لتجاوز المصادقة للوصول إلى قواعد بيانات العملاء الآخرين" .

هذا، وأطلقت شركة Wiz للأمن السحابي ومقرها نيويورك، والتي كشفت عن العيوب، وأطلق عليها اسم " ExtraReplica ".

 قالت Microsoft إنها خففت من الخطأ في غضون 48 ساعة من الكشف في 13 يناير 2022.

على وجه التحديد، يتعلق الأمر بحالة تصعيد الامتياز في محرك Azure PostgreSQL للحصول على تنفيذ التعليمات البرمجية وتجاوز المصادقة عبر الحسابات عن طريق شهادة مزورة، مما يسمح للمهاجم بإنشاء قاعدة بيانات في منطقة Azure للهدف واستخراج المعلومات الحساسة.

بعبارة أخرى، كان من الممكن أن يؤدي الاستغلال الناجح للعيوب الحرجة إلى تمكين الخصم من الحصول على وصول غير مصرح به للقراءة إلى قواعد بيانات PostgreSQL للعملاء الآخرين، مما يؤدي إلى تجاوز عزل المستأجر بشكل فعال.

أزال Wiz تصعيد الامتياز إلى خطأ ناجم عن التعديلات التي أدخلت في محرك PostgreSQL لتقوية نموذج الامتياز الخاص بهم وإضافة ميزات جديدة. يأتي اسم ExtraReplica من حقيقة أن الاستغلال يعزز ميزة PostgreSQL التي تسمح بنسخ بيانات قاعدة البيانات من خادم إلى آخر ، أي "نسخ" قاعدة البيانات.

وصف صانع Windows الثغرة الأمنية بأنها تؤثر على مثيلات PostgreSQL Flexible Server التي تم نشرها باستخدام خيار شبكات الوصول العام، لكنها شددت على أنها لم تعثر على دليل على أن الخلل يتم استغلاله بشكل نشط وأنه لم يتم الوصول إلى بيانات العميل.