A Microsoft está alertando sobre o potencial abuso das Azure Service Tags por agentes mal-intencionados para forjar solicitações de serviços confiáveis e contornar regras de firewall, permitindo acesso não autorizado a recursos em nuvem.

A Microsoft Security Response Center (MSRC) destacou que usar service tags como único mecanismo para validar tráfego de rede é um risco inerente. As service tags não devem ser tratadas como barreiras de segurança, mas apenas como um mecanismo de roteamento juntamente com controles de validação. Elas não substituem a validação de entrada para prevenir vulnerabilidades associadas a solicitações web.

Essas declarações vêm após descobertas da empresa Tenable, que identificou que clientes do Azure que dependem de service tags para suas regras de firewall poderiam ser alvo de bypass. O problema surge porque alguns serviços do Azure permitem tráfego de entrada via uma service tag, possibilitando que um atacante em um inquilino envie solicitações web especialmente formatadas para acessar recursos em outro, caso o tráfego da service tag seja permitido sem autenticação adicional. Dez serviços Azure foram encontrados vulneráveis, incluindo Azure Application Insights, Azure DevOps e Azure Machine Learning.