多名安全專家近期指責微軟,稱其在回應威脅其客戶的漏洞報告時缺乏透明度和足夠的速度。在本周二發布的博文中就闡述了微軟在這方面的失敗,內容稱微軟在修復 Azure 中的一個關鍵漏洞用了 5 個月的時間,而且先後發布了 3 個補丁。
Orca Security 在 1 月初首次向微軟通報了該漏洞,該漏洞位於雲服務的 Synapse Analytics 組件中,並且還影響了 Azure 數據工廠。它使任何擁有 Azure 帳戶的人都能夠訪問其他客戶的資源。
Orca Security 研究員 Tzah Pahima 表示,攻擊者可以實現
● 在充當 Synapse 工作區的同時在其他客戶帳戶中獲得授權。根據配置,我們可以訪問客戶帳戶中的更多資源。
● 泄露存儲在 Synapse 工作區中的客戶憑據。
● 與其他客戶的集成運行時進行通信。可以利用它在任何客戶的集成運行時上運行遠程代碼 (RCE)。
● 控制管理所有共享集成運行時的 Azure 批處理池。可以在每個實例上運行代碼。
Pahima 說,儘管該漏洞很緊迫,但微軟的響應者卻遲遲沒有意識到它的嚴重性。微軟在前兩個補丁中搞砸了,直到周二,微軟才發布了完全修復該漏洞的更新。 Pahima 提供的時間表顯示了他的公司花費了多少時間和工作來引導微軟完成整治過程:
● 1 月 4 日 – Orca 安全研究團隊向 Microsoft 安全響應中心 (MSRC) 披露了該漏洞,以及我們能夠提取的密鑰和證書。
● 2 月 19 日和 3 月 4 日——MSRC 要求提供更多細節以幫助其調查。每次,我們都會在第二天回復。
● 3 月下旬 – MSRC 部署了初始補丁。
● 3 月 30 日 – Orca 能夠繞過補丁。突觸仍然脆弱。
● 3 月 31 日 – Azure 獎勵我們 60,000 美元用於我們的發現。
● 4 月 4 日(披露后 90 天)– Orca Security 通知 Microsoft 密鑰和證書仍然有效。 Orca 仍然可以訪問 Synapse 管理服務器。
● 4 月 7 日 – Orca 與 MSRC 會面,以闡明該漏洞的影響以及全面修復該漏洞所需的步驟。
● 4 月 10 日 – MSRC 修補繞過,最終撤銷 Synapse 管理服務器證書。 Orca 能夠再次繞過補丁。突觸仍然脆弱。
● 4 月 15 日 – MSRC 部署第三個補丁,修復 RCE 和報告的攻擊向量。
● 5 月 9 日 – Orca Security 和 MSRC 都發布了博客,概述了漏洞、緩解措施和針對客戶的建議。
● 5 月底 – Microsoft 部署了更全面的租戶隔離,包括用於共享 Azure 集成運行時的臨時實例和範圍令牌。
他表示:“任何使用 Azure Synapse 服務的人都可以利用這兩個漏洞。在評估情況后,微軟決定默默修補其中一個問題,淡化風險。只是在被告知我們將要上市之後,他們的故事才發生了變化……在最初的漏洞通知后 89 天……他們私下承認了安全問題的嚴重性。迄今為止,尚未通知 Microsoft 客戶”。