Microsoft Lost En vier Kritieke Kwetsbaarheden in Cloud Diensten
Redmond – Microsoft heeft onlangs vier kritieke kwetsbaarheden in zijn clouddiensten aangepakt, waaronder Azure DevOps, Azure Automation, Azure Storage en Power Apps. Een van deze kwetsbaarheden, aangeduid als CVE-2025-29813, heeft de hoogste veiligheidsbeoordeling behaald (10 op 10) volgens het CVSS-systeem. Dit maakt het een van de meest zorgwekkende kwetsbaarheden die recentelijk in cloudomgevingen zijn ontdekt.
De kwetsbaarheid in kwestie heeft direct invloed op Visual Studio en zijn beheer van uitvoeringstokens (pipeline job tokens) in projecten die zijn gehost op Azure DevOps. Een aanvaller met beperkte toegang kon een tijdelijk token verwisselen voor een langdurig token, waardoor hij of zij blijvende toegang kon verkrijgen en privileges binnen het gecompromitteerde project kon escaleren.
Naast deze ernstige kwetsbaarheid heeft Microsoft nog drie andere kritieke problemen geïdentificeerd:
CVE-2025-29827 (CVSS 9.9): Betreft Azure Automation. Een autorisatieprobleem (CWE-285) stelde geauthenticeerde gebruikers in staat om hun privileges in multi-gebruikersomgevingen te verhogen, met volledige compromittering van runbooks en geautomatiseerde processen als gevolg.
CVE-2025-29972 (CVSS 9.9): Dit betreft een server-side request forgery (SSRF) in de Azure Storage Resource Provider. Deze kwetsbaarheid maakte het mogelijk om interne diensten na te apen en ongeoorloofde toegang te krijgen tot andere resources of identiteiten.
- CVE-2025-47733 (CVSS 9.1): Nog een SSRF die Microsoft Power Apps aantastte. Dit probleem was bijzonder ernstig omdat het geen authenticatie vereiste, waardoor informatie via eenvoudige gemanipuleerde verzoeken kon worden geëxfiltreerd.
Volgens Microsoft zijn geen van deze kwetsbaarheden actief misbruikt en zijn ze inmiddels aan de providerzijde gepatcht, waardoor gebruikers geen directe actie hoeven te ondernemen.
Toch adviseren cybersecurity-experts organisaties om een aantal best practices te volgen:
- Controleer activiteitslogboeken in pipelines, runbooks en opslag op verdachte toegangen of onrechtmatig gebruik van tokens.
- Pas strikt het principe van minimale privileges toe op accounts, service-identiteiten en abonnementen.
- Scheid ontwikkel- en productieomgevingen om te voorkomen dat beperkte compromissen escaleren naar kritieke infrastructuren.
- Monitor waarschuwingen van tools zoals Defender for Cloud of SIEM-oplossingen die helpen bij het detecteren van patronen die verband houden met SSRF of misbruik van tijdelijke referenties.
Dit incident benadrukt de inherent risico’s van multi-tenant cloud omgevingen, waar meerdere klanten dezelfde infrastructuur delen onder een enkel systeem. Het veilig beheren van identiteiten, permissies en interne communicatie tussen diensten is een fundamenteel aspect geworden van moderne cybersecurity.
Microsoft heeft, in lijn met zijn initiatief "Secure Future", zijn inzet voor transparantie in het publiceren van kwetsbaarheden versterkt. Sinds medio 2024 publiceert het bedrijf CVE-identificatoren voor kritieke problemen in zijn clouddiensten, zelfs als er geen actie van klanten nodig is. Deze praktijk is ook onlangs door Google aangenomen in Google Cloud, met als doel een cultuur van gedeelde en preventieve beveiliging te bevorderen.
Deze beslissingen weerspiegelen een significante verschuiving in de industrie, die historisch gezien de neiging heeft gehad om opgeloste kwetsbaarheden niet te delen als er geen onmiddellijk risico voor klanten was. Tegenwoordig zijn zowel Microsoft als Google het erover eens dat volledige en tijdige informatie over kwetsbaarheden essentieel is om de defensieve paraatheid van het digitale ecosysteem te verbeteren.
Bronnen: MITRE CVE, Microsoft Security Response Center, Forbes, Hispasec Een al Dag.