Microsoft et Orca Security ont parlé d'une vulnérabilité dans le service Azure Automation qui permettait aux attaquants d'obtenir un accès non autorisé aux comptes d'utilisateurs Azure d'autres personnes. En conséquence, ils ont établi un contrôle total sur les ressources et les données d'autres personnes, en fonction des privilèges des comptes attaqués.

La vulnérabilité AutoWarp a été découverte par le chercheur d'Orca Security Yanir Tsarimi en décembre 2021, Microsoft l'a corrigée un jour plus tard. Toutes les grandes entreprises concernées ont été informées du problème et doivent installer le correctif.

Les vulnérabilités affectaient spécifiquement les comptes Azure Automation qui utilisaient des jetons d'identités gérées pour l'autorisation, qui sont activés par défaut, et Azure Sandbox pour le démarrage et l'exécution.

Microsoft n'a trouvé aucune preuve que les jetons aient été utilisés par des attaquants.

Un travail Azure Automation peut obtenir un jeton Managed Identities pour accéder aux ressources Azure, et les capacités d'accès du jeton sont définies dans Managed Identity. La vulnérabilité pourrait permettre à un utilisateur qui a exécuté une tâche d'automatisation Azure Sandbox de recevoir des jetons d'identités gérées d'une autre tâche d'automatisation, acquérant ainsi la propriété des ressources d'autres personnes.

La vulnérabilité n'affecte pas les comptes qui utilisent Automation Hybrid pour exécuter et/ou les comptes Automation Run-As pour accéder aux ressources.

Microsoft a bloqué l'accès aux jetons d'identités gérées à tous les environnements sandbox, à l'exception de ceux qui disposent d'un accès légitime.

bbabo.Net