Microsoft는 CVSS (Common Common Vilnerability Scoring System) 10.0을 포함하여 핵심 클라우드 서비스에 영향을 미치는 여러 중요한 보안 취약점의 존재를 확인했습니다.

이러한 결함의 비판적 특성에도 불구하고 Microsoft는 확인 된 취약점 중 어느 것도 야생에서 악용 된 것으로 알려져 있으며 확인 전에 공개적으로 공개되지 않았다고보고했습니다. 중요한 것은 Microsoft가 이미 완화를 구현했기 때문에 이러한 취약점으로부터 자신을 보호하기 위해 어떤 조치도 취할 필요가 없습니다.

Microsoft는 총 4 개의 클라우드 보안 취약점을 확인했습니다. 여기에는 CVSS 등급 10.0 인 CVE-2025-29813, Azure DevOps의 권한 취약성 상승이 포함됩니다. CVE-2025-29972, Azure Storage Resource Provider 스푸핑 취약점 9.9; CVE-2025-29827, 특권 취약점의 Azure 자동화 상승도 9.9 등급; 그리고 9.1 등급의 Microsoft Power 앱 정보 공개 취약성 인 CVE-2025-47733.

You Might Also Like
내가 소라라면 런웨이 제3세대 알파 터보를 조심할 거야
내가 소라라면 런웨이 제3세대 알파 터보를 조심할 거야
California AG는 Openai 영리 이동을 차단할 것을 촉구했습니다
California AG는 Openai 영리 이동을 차단할 것을 촉구했습니다
Slack AI를 사용하면 잠재적인 데이터 유출의 위험이 있습니다.
Slack AI를 사용하면 잠재적인 데이터 유출의 위험이 있습니다.

가장 심각한 취약점 인 CVE-2025-29813은 Azure DevOps 파이프 라인 토큰 납치 문제입니다. Microsoft는 Visual Studio가 파이프 라인 작업 토큰을 부적절하게 처리하는 데 유래했다고 설명했습니다. Microsoft는“이 취약점을 악용하기 위해 공격자는 먼저 프로젝트에 액세스하고 단기 토큰을 장기적인 토큰으로 교환해야 할 것”이라고 말했다.

  Kindle Scribe는 최신 업데이트에서 PDF 쓰기 기능이 향상되었습니다.

Azure Storage Resource Provider 스푸핑 취약점 인 CVE-2025-29972는 Azure 서버 측 요청 위조 결함입니다. Microsoft는이를 통해 승인 된 공격자가 네트워크를 통해 “스푸핑”을 수행 할 수 있으므로 성공적인 위협 행위자가 합법적 인 서비스 및 사용자를 가장하는 악의적 인 요청을 배포 할 수 있다고 말했습니다.

CVE-2025-29827의 권한 취약점의 Azure 자동화 고도는 Azure Automation의 부적절한 승인 문제 때문입니다. 성공적인 악용으로 해커는 네트워크 전체의 권한을 높일 수 있습니다.

네 번째 취약점 인 CVE-2025-47733은 Microsoft Power 앱에 영향을 미치며 정보 공개 결함입니다. 이 서버 측 요청 위조 취약성을 통해 공격자는 네트워크를 통해 정보를 공개 할 수 있습니다.

Microsoft는 이러한 모든 취약점이 이미 회사에 의해 완전히 완화되었다고 강조했습니다. Microsoft는 각 클라우드 보안 문제에 대해“이 취약점은 이미 Microsoft에 의해 완전히 완화되었습니다.이 서비스 사용자에게는 조치가 없습니다.

이러한 공개는 투명성에 대한 광범위한 약속의 일부입니다. 2024 년 6 월 27 일, Microsoft Security Response Center (MSRC)는 클라우드 공통 취약점 및 노출 (CVE)에 대한 투명성이 높아져 내부적으로 패치 된 클라우드 서비스 CVE를 자세히 설명했습니다.

  EU 은행은 비트 코인에 1,250%의 자본에 직면했습니다

이전에 Microsoft는 다음과 같이 지적했습니다.“클라우드 서비스 제공 업체는 고객 조치가 필요하지 않은 한 클라우드 서비스에서 발견되고 해결 된 취약성에 대한 정보를 공개하지 않았습니다.” 그러나 전체 투명성의 가치가 이제 인식되면서 Microsoft는 다음과 같이 확인했습니다.“고객이 패치를 설치 해야하는지 또는 다른 조치를 취해야하는지 여부에 관계없이 중요한 클라우드 서비스 취약점에 대한 CVE를 발급 할 것입니다.”

이 투명성 이니셔티브는 Microsoft의 안전한 미래 이니셔티브와 일치하며, 이는 새로운 신원 보호 구현, 투명성 향상 및 더 빠른 취약성 응답을 보장하는 우선 순위가 있습니다. Microsoft는“우리 산업이 성숙하고 클라우드 기반 서비스로 점점 더 이주함에 따라 우리는 발견되고 고정 된 중요한 사이버 보안 취약점에 대해 투명해야합니다.”라고 말했습니다.

Google은 또한 클라우드 취약성 투명성 증가에 대한 비슷한 조치를 취했습니다. 2024 년 11 월 12 일, Google은 고객 조치가 필요하지 않은 경우에도 CVE 프로그램을 확장 할 것이라고 발표했습니다. Google Cloud의 최고 정보 보안 책임자 인 Phil Benables는 당시“투명성과 공유 조치, 전체 부류의 취약성을 배우고 완화하는 것은 나쁜 행위자들을 대응하는 데 중요한 부분입니다.”라고 말했습니다.

  Bored Ape Yacht Club 소송 : Madonna, Justin Bieber 등이 조사 중입니다.

이 이야기는 원래 2025 년 5 월 9 일에 출판되었으며 2025 년 5 월 11 일에 Microsoft와 Google의 Cloud CVE 투명도 이동에 대한 자세한 내용을 포함하도록 업데이트되었습니다.

Source: Microsoft는 중요한 클라우드 취약점을 확인합니다. 조치가 필요하지 않습니다