商业世界网

漏洞评估机构Table的研究团队发现了这个问题，它源于服务标签，这是一个Azure构造.

微软云中的一个漏洞--或者只是Azure按预期工作，取决于你询问的人--可能会让不法分子摆脱防火墙规则，访问其他人的私人网络资源.

这些标签可以用来将Azure服务使用的IP地址组合在一起，以便在理论上更容易控制进出这些资源的网络访问.

例如，如果你希望特定的Azure服务与你的私有Web应用程序交互，你可以使用服务标签来只允许该特定服务通过防火墙连接到该应用程序.

Microsoft建议Azure用户在创建此类安全策略时，将它们应用于服务标签，而不是应用到单个Azure IP地址.

TEnable认为，如果这些受害者依赖于防火墙规则中的服务标签，则这些标签可以被恶意的Azure客户滥用来访问其他客户的东西-跨租户攻击.

然而，微软不会解决这个问题，因为雷蒙德没有将该问题列为漏洞.

相反，微软认为这件事是对人们决定如何使用服务标签及其预期目的的误解.

然而，在TEnable在1月份披露了这一问题后，微软证实这是一个“特权提升漏洞”，具有“重要的”严重级别，并向Table支付了一笔漏洞赏金.

一个月后，根据Table的说法，微软制定了一个“全面修复”和实施时间表，但后来决定只通过“全面的文档更新”来解决这个问题.

这家Windows巨头似乎认为，服务标签的安全弱点最好的解决办法是多层安全控制相结合.

微软的一位发言人告诉The Register，“我们很欣赏与Table的合作，负责任地披露了使用服务标签作为单一机制审查安全网络流量的内在风险.

当涉及到验证他们的安全措施时，我们鼓励客户采取多层安全措施，仅验证服务标签的可信网络流量，”该发言人补充道，“我们强烈建议客户主动审查我们博客中列出的服务标签的使用情况.”.