多名安全專家近期指責(zé)微軟，稱其在回應(yīng)威脅其客戶的漏洞報(bào)告時(shí)缺乏透明度和足夠的速度。在本周二發(fā)布的博文中就闡述了微軟在這方面的失敗，內(nèi)容稱微軟在修復(fù) Azure 中的一個(gè)關(guān)鍵漏洞用了 5 個(gè)月的時(shí)間，而且先后發(fā)布了 3 個(gè)補(bǔ)丁。

Orca Security 在 1 月初首次向微軟通報(bào)了該漏洞，該漏洞位于云服務(wù)的 Synapse Analytics 組件中，并且還影響了 Azure 數(shù)據(jù)工廠。它使任何擁有 Azure 帳戶的人都能夠訪問其他客戶的資源。

Orca Security 研究員 Tzah Pahima 表示，攻擊者可以實(shí)現(xiàn)

● 在充當(dāng) Synapse 工作區(qū)的同時(shí)在其他客戶帳戶中獲得授權(quán)。根據(jù)配置，我們可以訪問客戶帳戶中的更多資源。

● 泄露存儲(chǔ)在 Synapse 工作區(qū)中的客戶憑據(jù)。

● 與其他客戶的集成運(yùn)行時(shí)進(jìn)行通信?？梢岳盟谌魏慰蛻舻募蛇\(yùn)行時(shí)上運(yùn)行遠(yuǎn)程代碼 (RCE)。

● 控制管理所有共享集成運(yùn)行時(shí)的 Azure 批處理池。可以在每個(gè)實(shí)例上運(yùn)行代碼。

Pahima 說，盡管該漏洞很緊迫，但微軟的響應(yīng)者卻遲遲沒有意識(shí)到它的嚴(yán)重性。微軟在前兩個(gè)補(bǔ)丁中搞砸了，直到周二，微軟才發(fā)布了完全修復(fù)該漏洞的更新。 Pahima 提供的時(shí)間表顯示了他的公司花費(fèi)了多少時(shí)間和工作來引導(dǎo)微軟完成整治過程：

● 1 月 4 日 – Orca 安全研究團(tuán)隊(duì)向 Microsoft 安全響應(yīng)中心 (MSRC) 披露了該漏洞，以及我們能夠提取的密鑰和證書。

● 2 月 19 日和 3 月 4 日——MSRC 要求提供更多細(xì)節(jié)以幫助其調(diào)查。每次，我們都會(huì)在第二天回復(fù)。

● 3 月下旬 – MSRC 部署了初始補(bǔ)丁。

● 3 月 30 日 – Orca 能夠繞過補(bǔ)丁。突觸仍然脆弱。

● 3 月 31 日 - Azure 獎(jiǎng)勵(lì)我們 60,000 美元用于我們的發(fā)現(xiàn)。

● 4 月 4 日（披露后 90 天）– Orca Security 通知 Microsoft 密鑰和證書仍然有效。 Orca 仍然可以訪問 Synapse 管理服務(wù)器。

● 4 月 7 日 – Orca 與 MSRC 會(huì)面，以闡明該漏洞的影響以及全面修復(fù)該漏洞所需的步驟。

● 4 月 10 日 - MSRC 修補(bǔ)繞過，最終撤銷 Synapse 管理服務(wù)器證書。 Orca 能夠再次繞過補(bǔ)丁。突觸仍然脆弱。

● 4 月 15 日 - MSRC 部署第三個(gè)補(bǔ)丁，修復(fù) RCE 和報(bào)告的攻擊向量。

● 5 月 9 日 – Orca Security 和 MSRC 都發(fā)布了博客，概述了漏洞、緩解措施和針對客戶的建議。

● 5 月底 – Microsoft 部署了更全面的租戶隔離，包括用于共享 Azure 集成運(yùn)行時(shí)的臨時(shí)實(shí)例和范圍令牌。

他表示：“任何使用 Azure Synapse 服務(wù)的人都可以利用這兩個(gè)漏洞。在評估情況后，微軟決定默默修補(bǔ)其中一個(gè)問題，淡化風(fēng)險(xiǎn)。只是在被告知我們將要上市之后，他們的故事才發(fā)生了變化……在最初的漏洞通知后 89 天……他們私下承認(rèn)了安全問題的嚴(yán)重性。迄今為止，尚未通知 Microsoft 客戶”。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/