Microsoft solo cierra vulnerabilidades conocidas después de 100 días

8. julio 2022
| No hay comentarios
Microsoft solo cierra vulnerabilidades conocidas después de 100 días

Compartir publicación

Orca Security critica la lenta reacción de Microsoft para corregir la vulnerabilidad SynLapse, que solo se cerró después de 100 días. Se recomienda mayor aislamiento y refuerzo para una mejor seguridad en la nube. 

Aunque SynLapse (CVE-2022-29972) es una vulnerabilidad Crítica, Microsoft ha tardado más de 100 días en completar los pasos necesarios para resolver la vulnerabilidad.

100 días vulnerabilidad abierta

Después de que Microsoft fuera informado sobre la vulnerabilidad de SynLapse el 4 de enero y después de varios seguimientos, el primer parche solo se proporcionó en marzo, que Orca Security pudo eludir. Microsoft finalmente solucionó la vulnerabilidad original el 10 de abril, pero Orca Security cree que el problema subyacente de la segregación de inquilinos a nivel de infraestructura se ha explotado durante demasiado tiempo.

SynLapse - Detalles técnicos de la vulnerabilidad crítica en Azure Synapse

Un vector de ataque ahora finalmente está cerrado, se recomienda endurecimiento adicional. El último blog de Orca Security describe los detalles técnicos de SynLapse, como continuación del blog anterior. Orca ha retrasado el lanzamiento hasta ahora para que los clientes de Synapse tengan tiempo de parchear sus versiones locales y reconsiderar el uso de Azure Synapse. MSRC ha realizado varias mejoras y continúa trabajando para lograr un aislamiento integral de los inquilinos.

A Tzah Pahima, investigador de Orca Security, se le atribuye el descubrimiento de SynLapse, una vulnerabilidad crítica en Microsoft Azure Synapse Analytics que también afectó a Azure Data Factory. Permitió a los atacantes eludir la separación de inquilinos mientras obtenían la capacidad de:

  • Obtenga credenciales para otras cuentas de cliente de Azure Synapse.
  • Control sobre sus espacios de trabajo de Azure Synapse.
  • Ejecute el código en las máquinas de los clientes de destino dentro del servicio Azure Synapse Analytics.
  • Divulgación de credenciales de clientes a fuentes de datos fuera de Azure.

Un atacante que solo conoce el nombre de un espacio de trabajo de Azure Synapse podría, como muestra este video, espiar las credenciales de una víctima ingresadas en Synapse de la siguiente manera.

¿Qué es Azure Synapse Analytics?

Azure Synapse Analytics importa y procesa datos de muchas fuentes de datos de clientes (por ejemplo, CosmosDB, Azure Data Lake y fuentes externas como Amazon S3).

Cada instancia de Synapse se denomina espacio de trabajo. Para importar y procesar datos de una fuente de datos externa, un cliente ingresa credenciales y datos relevantes, y luego se conecta a esa fuente a través de un tiempo de ejecución de integración, una máquina que se conecta a muchas fuentes de datos diferentes.

Los tiempos de ejecución de integración pueden ser autohospedados (en las instalaciones) o hospedados en la nube de Azure (a través del tiempo de ejecución de integración de Azure Data Factory). Azure IR alojado en la nube también se puede configurar con una red virtual administrada (VNet) para usar puntos de conexión privados para conexiones externas, lo que puede proporcionar capas adicionales de aislamiento.

¿Qué tan crítico fue SynLapse?

SynLapse permitió a los atacantes acceder a los recursos de Synapse propiedad de otros clientes a través de un servidor API interno de Azure que administra los tiempos de ejecución de integración. Como el equipo de Orca conocía el nombre de un espacio de trabajo, pudo realizar lo siguiente:

  • Obtenga autorización dentro de otras cuentas de clientes mientras actúa como un espacio de trabajo de Synapse. Según la configuración, el equipo podría haber accedido incluso a más recursos dentro de una cuenta de cliente.
  • Lectura de credenciales que los clientes han almacenado en su espacio de trabajo de Synapse.
  • Comunicación con los tiempos de ejecución de integración de otros clientes. El equipo de Orca pudo usar esto para ejecutar código remoto (RCE) en los tiempos de ejecución de integración de cualquier cliente.
  • Control sobre el grupo de lotes de Azure que administra todos los tiempos de ejecución de integración compartidos. Orca pudo ejecutar código en cualquier instancia.

Mitigación futura

Después de las discusiones con Microsoft, Orca Security ahora cree que Azure Synapse Analytics es seguro y proporciona un aislamiento de inquilino adecuado. Por este motivo, Orca ha eliminado las alertas de Synapse de la plataforma Orca Cloud Security. Microsoft continúa trabajando en aislamiento y refuerzo adicionales.

Más en Orca.security

 

Acerca de la seguridad de Orca

Orca Security ofrece seguridad y cumplimiento listos para usar para AWS, Azure y GCP, sin las brechas en la cobertura, la fatiga de alertas y los costos operativos de agentes o sidecars. Simplifique las operaciones de seguridad en la nube con una única plataforma CNPP para la carga de trabajo y la protección de datos, la gestión de la postura de seguridad en la nube (CSPM), la gestión de vulnerabilidades y el cumplimiento. Orca Security prioriza los riesgos en función de la gravedad del problema de seguridad, la accesibilidad y el impacto comercial.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

Noticias de prensa
, , , , , , ,