微软关于最近披露的OMI漏洞的最新指南要求用户负责修补许多受影响的Azure服务。该月补丁星期二同捆附带修复四个零日漏洞在开源软件代理名为开放式管理基础结构(OMI),它自动部署内部的Linux虚拟机(VM),当用户启用某些Azure服务。
然而,微软并没有修补所有受影响的Azure服务,而是发布了一份公告,指出虽然它将更新其中的六个,但其他七个必须由用户自己更新。
我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间,如果您能与我们分享您的经验,我们将不胜感激。
“客户必须更新其云和本地部署的易受攻击的扩展,因为更新按照下表列出的时间表可用......对于启用自动更新的云部署,Microsoft将根据每个Azure区域主动部署更新到扩展下表中的时间表,”公告中写道。
TheRegister指出,微软对这种情况的处理并没有得到安全研究人员的好评。
“他们也未能在Azure中更新自己的系统以在新的VM部署上安装修补版本。老实说,这令人瞠目结舌,”安全研究员凯文博蒙特在推特上写道。
由于微软让用户来修补受影响的服务,研究人员很快就发现了易受攻击的实例。
安全供应商Censys在执行影响评估后写道:“全球有56种已知的暴露服务可能容易受到此问题的影响,其中包括一家主要的卫生组织和两家主要的娱乐公司。”
虽然这个数字看起来很小,但Censys认为这可能是因为OMI服务如何响应此类扫描,或者可能是因为将OMI暴露给互联网可能需要刻意努力。
在任何情况下,根据Sophos的说法,利用该漏洞是一个“可笑的简单技巧”,安全研究人员强烈敦促用户立即修补其Azure部署中的任何易受攻击的OMI使用服务。
使用这些最佳防病毒软件保护您的设备
免责声明:本文由用户上传,如有侵权请联系删除!