Microsoft har rettet op på to kritiske sikkerhedssårbarheder, der udgjorde potentielle trusler mod deres cloud-baserede tjenester. Patcherne løser sikkerhedsfejl, der påvirker Azure AI Face Service og Microsoft-konto, som begge kunne have tilladt ondsindede aktører at eskalere privilegier under specifikke forhold.
Detaljer om sårbarhederne
De to sårbarheder identificeres som følger:
- CVE-2025-21396, CVSS-score: 7.5 – Sårbarhed i Microsoft-kontoudvidelse af privilegier
- CVE-2025-21415, CVSS-score: 9.9 – Azure AI Face Service Udvidelse af Privilege Sårbarhed
Ifølge Microsoft, CVE-2025-21415 stammer fra et problem med omgåelse af godkendelse i Azure AI Face Service. Under visse betingelser, en autoriseret hacker kunne udnytte denne fejl til at eskalere privilegier over et netværk. Sårbarheden blev opdaget og rapporteret af en anonym forsker.
I mellemtiden, CVE-2025-21396 er forårsaget af manglende godkendelsestjek i Microsoft Account-systemet. Denne fejl kan give en uautoriseret hacker mulighed for at ophøje privilegier over et netværk. En sikkerhedsforsker kendt som Sugobet er blevet krediteret for at identificere dette problem.
Udnyttelse og afbødning
Microsoft har anerkendt eksistensen af proof-of-concept (PoC) udnyttelseskode til CVE-2025-21415, bekræfter, at begge sårbarheder er blevet fuldstændig afhjulpet. vigtigere, kunder er ikke forpligtet til at foretage yderligere handlinger, da Microsoft har anvendt de nødvendige sikkerhedsopdateringer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: