Microsoft, PAT ile Azure DevOps API’lerine yönelik tehdidi sınırlayacak • Kayıt


Microsoft, kimlik bilgileri sızdırıldığında veya çalındığında meydana gelebilecek hasarı azaltmaya çalışmak için Azure DevOps REST API’lerine ayrıntılı bir kişisel erişim belirteci (PAT) getiriyor.

Hareket, siber güvenlik firması Praetorian’ın, araştırmacılarının CI/CD araçları için Microsoft’un sahip olduğu GitHub’ı kullanarak şirketlerin dahili kurumsal ağlarına nasıl girebildiklerini özetlemesinden haftalar sonra geldi. Yanlışlıkla sızdırılan bir PAT aracılığıyla GitHub’a erişimi tehlikeye attılar ve GitHub’ın beta sürümünü ayrıntılı erişim belirteçleri “doğru yönde bir adım.”

PAT’ler, bir sisteme veya web sitesine erişen birinin yanı sıra API’leri ve komut dosyalarını kullanan geliştiricilerin kimliğini doğrulamak için parolalara alternatiflerdir. Bu durumda, Azure DevOps’ta kimlik doğrulaması yapmak için kullanılırlar.

Bir PAT, bir dizi bilgiyi içerir. Azure DevOps için bir kişinin güvenlik kimlik bilgilerini içerir ve kullanıcıyı, erişebilecekleri kuruluşları ve erişimin kapsamını tanımlar. Siber suçlular, kurumsal ağlara erişmek için sistemleri ele geçirmekten kimlik bilgilerini çalmaya yönelik taktikler değiştirdikçe, jetonlar zengin bir hedef haline gelir.

Microsoft, “Parolalar kadar kritiktir, bu yüzden onlara aynı şekilde davranmalısınız.” söz konusu geçen ay.

Praetorian’a göre bildiribir geliştiricinin yanlışlıkla bir PAT’yi ifşa etmesinin birden çok yolu vardır: kimlik avı, kişisel dizüstü bilgisayarlarının güvenliğinin aşılması veya yanlışlıkla komut satırı günlüklerine dahil edilmesi.

Azure DevOps ürün yöneticisi Barry Wolfson, PAT’lerine yönelik tehdidi daraltmak için Azure DevOps ekibinin yakın zamanda tüm Azure DevOps REST API’leri için parçalı bir PAT kapsamı oluşturduğunu yazdı. Blog yazısı bu hafta. OAuth2 kapsamları, kuruluşların bir PAT’a verilen erişimi sınırlamasını sağlar.

Wolfson, “Önceden, bazı Azure DevOps REST API’leri bir PAT kapsamıyla ilişkilendirilmiyordu, bu da zaman zaman müşterilerin tam kapsamlı PAT’ler kullanarak bu API’leri kullanmasına neden oluyordu” diye yazıyor.

“Kaynak koduna, üretim altyapısına ve diğer değerli varlıklara erişim potansiyeli göz önüne alındığında, kötü niyetli bir aktörün elindeki tam kapsamlı bir PAT’nin geniş izinleri (ilgili kullanıcının tüm izinleri), kuruluşlar için önemli bir güvenlik riski oluşturur. .”

Gereksiz erişimi ortadan kaldırmak için tam kapsamlı bir PAT kullanan geliştiricileri belirli bir kapsama sahip bir PAT’a geçmeye teşvik etti. Aynı zamanda, tam kapsamlı API’ler oluşturmaya kısıtlamalar getiren bir kontrol düzlemi politikası önerdi.

Azure DevOps ekibinin girişimi, Ekim ayında ayrıntılı PAT’lerin genel beta sürümünü kullanıma sunan GitHub’ın benzer bir hamlesinden bir aydan kısa bir süre sonra geldi.

Bundan önce, PAT’ler “çok ayrıntılı” izinler sağlıyordu. Bir açıklamaya göre, kullanıcıların organizasyonu üzerinde hiçbir kontrol veya görünürlük olmaksızın, token kullanıcılarının sahip olduğu neredeyse tüm depolara ve organizasyonlara erişim sağladılar. Blog yazısı GitHub personel ürün müdürü Hirsch Singhal tarafından.

Bu değişti, diye yazıyor Hirsch.

“Ayrıntılı kişisel erişim belirteçleri, geliştiricilere bir PAT’a verdikleri izinler ve depo erişimi üzerinde ayrıntılı kontrol sağlar” diyor. “Onay politikaları ve kuruluş kaynaklarına erişen belirteçler için tam görünürlük sayesinde kuruluş yöneticileri de kontrol altında.”

Ayrıntılı belirteçler, GitHub’ın kuruluş, kullanıcı ve depo API’lerine erişimi kontrol eden 50’den fazla ayrıntılı izinden oluşan bir dizi izin alır. ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/11/11/microsoft_azure_pat_scope/

Yorum yapın