黑客利用 Azure Key Vault 访问策略读取敏感数据

据Cybersecuritynews消息，atadog 向微软安全研究中心报告，Azure Key Vault 存在安全配置问题。有 “Key Vault Contributor” 角色的用户可利用访问策略，读取如 API 密钥、密码等敏感数据，存在权限提升风险。微软虽称此 “不是漏洞”，还更新了角色文档，但这一情况源于 Azure RBAC 权限模型和 Key Vault 访问政策间权限范围冲突。微软建议用 RBAC 模型，还提醒组织移除未授权用户、轮换相关物品等以降低风险。