研究人員批評(píng)微軟修補(bǔ)漏洞牛步令A(yù)zure用戶(hù)曝險(xiǎn)

安全廠(chǎng)商O(píng)rca與Tenable本周說(shuō)明發(fā)生在Microsoft Azure一項(xiàng)服務(wù)的漏洞，并指微軟對(duì)漏洞的回應(yīng)動(dòng)作太慢及透明度不佳，讓用戶(hù)曝于風(fēng)險(xiǎn)。

Synapse Analytics是供機(jī)器學(xué)習(xí)、資料集結(jié)及其他高運(yùn)算用量任務(wù)的平臺(tái)。它可從許多資料源如CosmosDB、Azure Data Lake及Amazon S3導(dǎo)入資料。而為了從外部資料源導(dǎo)入資料，用戶(hù)必須輸入憑證及相關(guān)資料，再經(jīng)由集成runtime（integration runtime，IR）連到資源源。IR可以執(zhí)行在用戶(hù)本地部署環(huán)境或Azure云上，若是后者，用戶(hù)還可設(shè)置VNet（托管虛擬網(wǎng)絡(luò)），以私密端點(diǎn)連到外部資源，這可提供租戶(hù)隔離之效。

研究人員發(fā)現(xiàn)對(duì)接IR的第三方ODBC（Open Database Connectivity）驅(qū)動(dòng)程序的一項(xiàng)漏洞，影響Azure Synapse及Azure Data Factory。

該漏洞編號(hào)CVE-2022-29972，Orca研究人員稱(chēng)之為SynLapse。攻擊者可借此攻擊Azure Synapse租戶(hù)，以控制Azure Synapse的工做空間（workspace）、在Azure Synapse服務(wù)內(nèi)的目標(biāo)機(jī)器上執(zhí)行程序代碼、以及將客戶(hù)驗(yàn)證憑證傳到外部目的地，及取得其他用戶(hù)賬號(hào)的驗(yàn)證憑證（Azure keys、API token、密碼等）。

圖片來(lái)源／Orca

微軟已在5月的Patch Tuesday中修補(bǔ)這項(xiàng)漏洞，但是研究人員對(duì)微軟修補(bǔ)漏洞不確實(shí)及速度感到不滿(mǎn)。

Orca研究人員Tzah Pahima指出，他在今年1月4日通報(bào)微軟安全回應(yīng)中心，并提供了他們?nèi)〉玫膽{證和密鑰。之后微軟分別在3月底及4月初發(fā)布修補(bǔ)，兩次都被繞過(guò)，最后在4月15日的第3次終于修補(bǔ)完成。距通報(bào)后已經(jīng)100多天，而且微軟到第96天才撤銷(xiāo)失竊的憑證。微軟5月底又提高租戶(hù)安全隔離，包括短期執(zhí)行實(shí)例（ephemeral instances）及限定范圍的共享Azure Integration Runtimes token。

Tenable則是批評(píng)微軟作業(yè)不夠透明，該公司3月發(fā)現(xiàn)Synapse 2項(xiàng)漏洞，其中之一即CVE-2022-29972。首席執(zhí)行官Amit Yoran則指出，微軟一開(kāi)始打算悄悄修補(bǔ)，直到研究人員威脅要公布，微軟才決定公開(kāi)，距離最初通報(bào)已89天。

Yoran指出，雖然微軟承認(rèn)漏洞的重要性，迄今（截至6月13日）卻仍未通知用戶(hù)。他說(shuō)，基礎(chǔ)架構(gòu)或云計(jì)算服務(wù)企業(yè)欠缺透明度，將使用戶(hù)風(fēng)險(xiǎn)大為提升，因?yàn)橛脩?hù)不知自己是否曝險(xiǎn)，或已經(jīng)被攻擊，若不通知客戶(hù)，將使其喪失搜集證據(jù)的機(jī)會(huì)，是不責(zé)任的政策。他認(rèn)為必須讓云計(jì)算供應(yīng)商遵守透明度標(biāo)準(zhǔn)，而對(duì)云計(jì)算廠(chǎng)商實(shí)施獨(dú)立IT基礎(chǔ)架構(gòu)的審核及評(píng)估也有其必要性。