多名安全专家近期指责微软,称其在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度。在本周二发布的博文中就阐述了微软在这方面的失败,内容称微软在修复 Azure 中的一个关键漏洞用了 5 个月的时间,而且先后发布了 3 个补丁。
Orca Security 在 1 月初首次向微软通报了该漏洞,该漏洞位于云服务的 Synapse Analytics 组件中,并且还影响了 Azure 数据工厂。它使任何拥有 Azure 帐户的人都能够访问其他客户的资源。
Orca Security 研究员 Tzah Pahima 表示,攻击者可以实现
- 在充当 Synapse 工作区的同时在其他客户帐户中获得授权。根据配置,我们可以访问客户帐户中的更多资源。
- 泄露存储在 Synapse 工作区中的客户凭据。
- 与其他客户的集成运行时进行通信。可以利用它在任何客户的集成运行时上运行远程代码 (RCE)。
- 控制管理所有共享集成运行时的 Azure 批处理池。可以在每个实例上运行代码。
Pahima 说,尽管该漏洞很紧迫,但微软的响应者却迟迟没有意识到它的严重性。微软在前两个补丁中搞砸了,直到周二,微软才发布了完全修复该漏洞的更新。 Pahima 提供的时间表显示了他的公司花费了多少时间和工作来引导微软完成整治过程:
- 1 月 4 日 – Orca 安全研究团队向 Microsoft 安全响应中心 (MSRC) 披露了该漏洞,以及我们能够提取的密钥和证书。
- 2 月 19 日和 3 月 4 日——MSRC 要求提供更多细节以帮助其调查。每次,我们都会在第二天回复。
- 3 月下旬 – MSRC 部署了初始补丁。
- 3 月 30 日 – Orca 能够绕过补丁。突触仍然脆弱。
- 3 月 31 日 - Azure 奖励我们 60,000 美元用于我们的发现。
- 4 月 4 日(披露后 90 天)– Orca Security 通知 Microsoft 密钥和证书仍然有效。 Orca 仍然可以访问 Synapse 管理服务器。
- 4 月 7 日 – Orca 与 MSRC 会面,以阐明该漏洞的影响以及全面修复该漏洞所需的步骤。
- 4 月 10 日 - MSRC 修补绕过,最终撤销 Synapse 管理服务器证书。 Orca 能够再次绕过补丁。突触仍然脆弱。
- 4 月 15 日 - MSRC 部署第三个补丁,修复 RCE 和报告的攻击向量。
- 5 月 9 日 – Orca Security 和 MSRC 都发布了博客,概述了漏洞、缓解措施和针对客户的建议。
- 5 月底 – Microsoft 部署了更全面的租户隔离,包括用于共享 Azure 集成运行时的临时实例和范围令牌。
他表示:“任何使用 Azure Synapse 服务的人都可以利用这两个漏洞。在评估情况后,微软决定默默修补其中一个问题,淡化风险。只是在被告知我们将要上市之后,他们的故事才发生了变化……在最初的漏洞通知后 89 天……他们私下承认了安全问题的严重性。迄今为止,尚未通知 Microsoft 客户”。