微軟365資安大升級！揮別「高權限漏洞」助企業掌握必要權限管理

記者孫敬／編譯

微軟（Microsoft）體驗與設備部門副資安長Naresh Kannan近期宣布，公司秉持「最小權限存取」原則，已成功解決超過1,000個高權限應用程式場景的資安風險，亦更新了Microsoft 365生態系統中所有高權限存取漏洞，響應早先提出的「安全未來倡議」計畫。

延伸閱讀：微軟Windows Update推出智慧通知系統 資安漏洞、硬體狀況秒掌握

微軟365資安大升級，成功斬斷千個「高權限漏洞」

所謂的「高權限存取」資安漏洞，是讓應用程式或服務能取得對客戶內容的廣泛存取權限，甚至能在沒有適當驗證的情境下，冒充用戶身分。這種架構上的缺陷，在服務被入侵、憑證處理不當或權杖（token）洩露等事件發生時，會造成巨大的安全風險。

微軟網路實驗室（Microsoft Networks Labs）的分析師發現，傳統的「服務對服務」身份驗證，反而讓整個平台產生了不必要的安全隱憂，而這項「安全未來倡議」就是在「假設已被入侵」的心態下誕生的，它意識到過度授權的存取，將可能放大任何對Microsoft 365基礎設施的潛在安全風險。

千名工程師總動員：棄舊迎新，M365權限全面「精準化」

這次清除高權限漏洞的過程，微軟採取全面性三階段方法，並對現有系統進行大規模的重新設計。

微軟的資安團隊對所有Microsoft 365應用程式，以及與技術堆疊中資源供應商之間的「服務對服務」互動，進行了徹底的審查。這項分析發現了許多應用程式都維持著超出其實際運作需求以外的過度權限。

在實施階段的重點，微軟則是淘汰那些天生就支援高權限存取模式的舊有身份驗證協定，並加快了新安全身份驗證協定的執行速度，確保所有「服務對服務」的互動，都只在執行預定功能所需的最小權限範圍內。舉例來說，如果一個應用程式只需要存取特定的SharePoint網站，它現在只會獲得精確的「Sites.Selected」權限，而不是過去那種更廣泛的「Sites.Read.All」權限。

動員了微軟各產品團隊中超過200名工程師共同參與，展現了公司對全面資安轉型的承諾，這項倡議還包含了實施標準化的監控系統，以便及時識別並回報 Microsoft 365 應用程式中任何殘存的高權限存取，確保持續符合新的資安標準。

資料來源：Cyber Security News、微軟

瀏覽 587 次