Esta vulnerabilidad de Microsoft Azure expone las bases de datos de los usuarios
Microsoft abordó una cadena de vulnerabilidades críticas encontradas en Azure Database for PostgreSQL Flexible Server. Las vulnerabilidades podrían permitir a los usuarios maliciosos aumentar los privilegios y obtener acceso a las bases de datos de otros clientes después de evadir la autenticación.
La opción de implementación de Flexible Server para Azure Database for PostgreSQL brinda a los clientes el máximo control posible sobre sus bases de datos. Esto incluye el ajuste detallado y múltiples parámetros de configuración.
“Al explotar un error de permisos elevados en el proceso de autenticación del servidor flexible para un usuario de replicación, un usuario malintencionado podría aprovechar una expresión regular anclada incorrectamente para evitar la autenticación y obtener acceso a las bases de datos de otros clientes”.
Microsoft Security Response Center (MSRC)
Microsoft implementó correcciones en todos los servidores flexibles antes del 25 de febrero de 2022. Las correcciones abordaron una falla de ejecución remota de código en el servicio PostgreSQL del servidor flexible y un error de escalada de privilegios.
El equipo de investigación de la firma de seguridad en la nube Wiz, que descubrió las vulnerabilidades, las denominó colectivamente ExtraReplica. Los investigadores reportaron las vulnerabilidades a Microsoft el 11 de enero de 2022.
