WIZ研究团队最近发现一个超额配置的SAS标志已在GitHub上暴露了近三年。该标志允许访问38TB的大量私人数据。此Azure存储还包含其他机密，例如隐藏在两名微软员工的磁盘备份中的专用SSH密钥。这一发现突显了强有力的数据安全措施的重要性。

发生了什么？

WIZ Research最近披露了2023年6月23日在微软人工智能GitHub存储库中发现的一起数据泄露事件。

管理GitHub的研究人员通过SAS标志使用了Azure存储共享功能，从而访问了一个开源 AI 训练数据桶。

这个标志配置错误，允许访问帐户的整个云存储，而不是预期的存储桶。

该存储包含38TB的数据，其中包括两名员工工作站的磁盘备份，其中包含机密信息、私钥、密码和超过30,000条微软团队内部消息。

SAS(共享访问签名)是用于共享Azure存储资源的签名url。它们配置了细粒度控制，控制客户端如何访问数据:公开哪些资源(完整帐户、容器或文件选择)、具有哪些权限以及访问多长时间。

在向微软披露这一事件后，SAS标志失效了。从它第一次提交到GitHub(2020年7月20日)到它被撤销，已经过去了将近三年。请看Wiz研究团队给出的时间表:

然而，正如 WIZ 研究小组所强调的那样，共享访问签名（SAS）存在配置错误。

数据曝光

该标志允许任何人访问额外的 38TB 数据，包括密钥、个人密码等敏感数据，以及来自数百名微软员工的 3 万多条微软团队内部消息。

以下是 Wiz 团队恢复的一些最敏感数据的摘录：

正如研究人员所强调的那样，这可能会让攻击者将恶意代码注入到存储 Blob 中，然后在用户（可能是人工智能研究人员）每次下载时自动执行，因为用户相信微软的信誉，这可能会导致供应链攻击。

安全隐患

研究人员认为，账户 SAS 标志（如他们研究中提出的标志）具有很高的安全风险。这是因为这些标志具有高度许可性和长期存在性，可以躲过管理员的监控。

当用户生成一个新标志时，该标志由浏览器签署，不会触发任何 Azure 事件。要撤销标志，管理员需要轮换签名帐户密钥，从而一次性撤销所有其他标志。

具有讽刺意味的是，微软产品功能（Azure SAS标志）的安全风险导致了微软研究团队的一次事故，微软存储服务威胁矩阵的第二版本最近提到了这一风险：

秘密蔓延

这个例子完美地强调了组织内部普遍存在的机密扩散问题，即使是那些拥有先进安全措施的组织也不例外。耐人寻味的是，它强调了人工智能研究团队或任何数据团队如何独立创建可能危及组织的标志。这些标志可以巧妙地避开旨在保护环境的安全保障措施。

缓解策略

对于Azure存储用户:

1 - 避免使用账户 SAS 标志

由于缺乏监控，该功能成为外围安全漏洞。从外部共享数据的更好方法是使用带有存储访问策略的服务 SAS。该功能将 SAS 标志与策略绑定，提供集中管理标志策略的能力。

不过，如果不需要使用 Azure 存储共享功能，更好的办法是直接禁用每个账户的 SAS 访问权限。

2 - 启用 Azure 存储分析功能

可以通过每个存储帐户的存储分析日志监控活动SAS标志的使用情况。Azure Metrics允许监控SAS身份验证请求，并识别通过SAS标志访问的存储帐户，最长可达93天。

For All:

1-审核你的Github外围的敏感凭据

GitHub 拥有约 9000 万个开发者账户、3 亿个托管仓库和 400 万个活跃组织（其中包括 90% 的财富 100 强企业），其攻击面远比想象的要大。

去年，GitGuardian 在公共存储库中发现了 1 千万条泄密信息，比前一年增加了 67%。

任何组织都必须积极监控 GitHub，将其作为安全边界的一部分。该平台上涉及凭证泄露的事件不断给大公司造成大规模漏洞，微软保护壳上的这个安全漏洞不禁让我们想起了一年前的丰田数据泄露事件。

2022 年 10 月 7 日，日本汽车制造商丰田公司披露，他们意外暴露了一个允许访问 GitHub 公共仓库中客户数据的凭据，该凭据已存在近 5 年之久。从 2017 年 12 月到 2022 年 9 月，该代码一直处于公开状态。

如果你的公司有开发团队，很可能你公司的一些秘密（API密钥、标志、密码）最终会出现在公共GitHub上。因此，强烈建议将审核GitHub攻击面作为攻击面管理程序的一部分。

结语

每个组织，无论规模大小，都需要为应对各种新出现的风险做好准备。这些风险往往源于对当今现代企业中大量软件操作的监控不足。在本案例中，一个人工智能研究团队无意中创建并暴露了一个配置错误的云存储共享链接，绕过了安全护栏。但是，还有多少其他部门--支持、销售、运营或营销部门--会发现自己处于类似的境地呢？对软件、数据和数字服务的依赖与日俱增，扩大了全球范围内的网络风险。

要应对机密信息的传播及其相关风险，就必须重新评估安全团队的监督和管理能力。

关注微信公众号【赛希咨询】，了解更多精彩内容。