安全廠商Orca與Tenable本周說明發(fā)生在Microsoft Azure一項服務(wù)的漏洞����,并指微軟對漏洞的回應(yīng)動作太慢及透明度不佳�����,讓用戶曝于風(fēng)險����。
安全廠商Orca與Tenable本周說明發(fā)生在Microsoft Azure一項服務(wù)的漏洞,并指微軟對漏洞的回應(yīng)動作太慢及透明度不佳����,讓用戶曝于風(fēng)險。
Synapse Analytics是供機器學(xué)習(xí)�����、資料集結(jié)及其他高運算用量任務(wù)的平臺�����。它可從許多資料源如CosmosDB�����、Azure Data Lake及Amazon S3導(dǎo)入資料。而為了從外部資料源導(dǎo)入資料�����,用戶必須輸入憑證及相關(guān)資料���,再經(jīng)由集成runtime(integration runtime����,IR)連到資源源���。IR可以執(zhí)行在用戶本地部署環(huán)境或Azure云上,若是后者�����,用戶還可設(shè)置VNet(托管虛擬網(wǎng)絡(luò))�����,以私密端點連到外部資源���,這可提供租戶隔離之效����。
研究人員發(fā)現(xiàn)對接IR的第三方ODBC(Open Database Connectivity)驅(qū)動程序的一項漏洞,影響Azure Synapse及Azure Data Factory����。
該漏洞編號CVE-2022-29972,Orca研究人員稱之為SynLapse����。攻擊者可借此攻擊Azure Synapse租戶,以控制Azure Synapse的工做空間(workspace)、在Azure Synapse服務(wù)內(nèi)的目標(biāo)機器上執(zhí)行程序代碼、以及將客戶驗證憑證傳到外部目的地�����,及取得其他用戶賬號的驗證憑證(Azure keys��、API token���、密碼等)。
圖片來源/Orca
微軟已在5月的Patch Tuesday中修補這項漏洞����,但是研究人員對微軟修補漏洞不確實及速度感到不滿�����。
Orca研究人員Tzah Pahima指出����,他在今年1月4日通報微軟安全回應(yīng)中心�����,并提供了他們?nèi)〉玫膽{證和密鑰���。之后微軟分別在3月底及4月初發(fā)布修補�����,兩次都被繞過,最后在4月15日的第3次終于修補完成����。距通報后已經(jīng)100多天,而且微軟到第96天才撤銷失竊的憑證�����。微軟5月底又提高租戶安全隔離,包括短期執(zhí)行實例(ephemeral instances)及限定范圍的共享Azure Integration Runtimes token����。
Tenable則是批評微軟作業(yè)不夠透明,該公司3月發(fā)現(xiàn)Synapse 2項漏洞���,其中之一即CVE-2022-29972��。首席執(zhí)行官Amit Yoran則指出���,微軟一開始打算悄悄修補,直到研究人員威脅要公布����,微軟才決定公開,距離最初通報已89天���。
Yoran指出�����,雖然微軟承認漏洞的重要性�����,迄今(截至6月13日)卻仍未通知用戶��。他說����,基礎(chǔ)架構(gòu)或云計算服務(wù)企業(yè)欠缺透明度,將使用戶風(fēng)險大為提升��,因為用戶不知自己是否曝險��,或已經(jīng)被攻擊����,若不通知客戶,將使其喪失搜集證據(jù)的機會�����,是不責(zé)任的政策���。他認為必須讓云計算供應(yīng)商遵守透明度標(biāo)準,而對云計算廠商實施獨立IT基礎(chǔ)架構(gòu)的審核及評估也有其必要性��。
閩公網(wǎng)安備 35010202001226號
