本周,安全厂商Orca和Tenable解释了微软Azure中一项服务的漏洞,并指出微软对该漏洞的反应过于缓慢和不透明,使用户面临风险。
Synapse Analytics是一个用于机器学习、数据聚合和其他高计算任务的平台。它可以从许多数据源导入数据,如CosmosDB、Azure Data Lake和亚马逊S3。为了从外部数据源导入数据,用户必须输入凭据和相关数据,然后连接到资源源运行时(集成运行时(IR))。IR可以在用户的本地部署环境或Azure cloud上执行。在后一种情况下,用户还可以设置VNet(托管虚拟网络)来连接到具有私有端点的外部资源,这可以提供租户隔离。
研究人员在IR的第三方ODBC(开放式数据库连接)驱动程序中发现了一个漏洞,该漏洞azuredevops影响了Azure Syazuredevopsnapse和Azure Data Fazure怎么读actory。
Orca研究人员将漏洞编号CVE-2022-29972称为SynLapse。攻击者可以攻击Azure Synapse租户,以控制Azure Synapse的工作区,在Azure Synazure云apse服务中的目标机器上执行程序代码,将客户身微软云服务器份验证凭据传输到外部目的地,并获取其azure云服务器他用户帐户的身份验证凭据(Azure密钥、API令牌、密码等azure云服务器)。).
图像//虎鲸
微软已经在5月的Patch Tuesday中修补了这一漏洞,但研究人员对微软修补漏洞的不准确性和速度感到Azure不满。
Orca研究人员Tzah Pahima指出,他在今年1月4日通知了微软安全响应中心,并提供了他们获得的凭据和密钥微软云希。之后微软分别在3月底和4月初发布补丁,两次被绕过。终于在4月15日终于完成了第三个补丁。距离通azure翻译知已经过去100多天,微软直到第96天才撤销被盗代金券。5月底,微软云电脑微软改善azure云服务器了租户的安全隔离,包括短暂实例和有限共享Azurazure翻译e Inteazure云gration运行时令牌。
特纳布尔批评微软缺乏透明度。今年3月,该公司在Sazure云服务ynapse中发现了两个漏洞,其中一个是CVE-2022-29972。首席执行官阿米特约兰(Amit Yoazure官网ran)azuredevops指出,微软最初计azure云划悄悄修复它,直到研究人员威胁要公开它,微软才决定公开它,这是在最初通知的89天后。
约兰指出,尽管微软承认了该漏洞的重要性,但迄微软云服务今为止(截至6月13日),用户尚未得到通知。他说,基础设施或云计算服务企业缺乏透明度会大大增加用户的风险,因为azure是什么意思用户不知道自己是否被暴露或受到了攻击。如果他们不告知客户,就会失去收集证据的机会,这是一种不负责任的政策。他认为,云计算提供商必须遵守透明标准,对云计算厂商的独立it基础设施进行审计和评估也是必要的。
