Orca Security critique la lenteur de réaction de Microsoft pour corriger la vulnérabilité SynLapse, qui n'a été fermée qu'après 100 jours. Une isolation et un renforcement supplémentaires pour une meilleure sécurité du cloud sont recommandés.
Bien que SynLapse (CVE-2022-29972) soit une vulnérabilité critique, il a fallu plus de 100 jours à Microsoft pour effectuer les étapes nécessaires à la résolution de la vulnérabilité.
100 jours de vulnérabilité ouverte
Après que Microsoft a été informé de la vulnérabilité SynLapse le 4 janvier et après plusieurs suivis, le premier correctif n'a été fourni qu'en mars, ce qu'Orca Security a pu contourner. Microsoft a finalement corrigé la vulnérabilité d'origine le 10 avril, mais Orca Security estime que le problème sous-jacent de la ségrégation des locataires au niveau de l'infrastructure est exploité depuis trop longtemps.
SynLapse - Détails techniques de la vulnérabilité critique dans Azure Synapse
Un vecteur d'attaque est maintenant définitivement fermé, un durcissement supplémentaire est recommandé. Le dernier blog d'Orca Security décrit les détails techniques de SynLapse, dans la continuité du blog précédent. Orca a retardé la publication jusqu'à maintenant pour donner aux clients de Synapse le temps de corriger leurs versions sur site et de reconsidérer leur utilisation d'Azure Synapse. MSRC a apporté plusieurs améliorations et continue de travailler à l'isolement complet des locataires.
Tzah Pahima, chercheur chez Orca Security, est crédité d'avoir découvert SynLapse - une vulnérabilité critique dans Microsoft Azure Synapse Analytics qui a également affecté Azure Data Factory. Cela a permis aux attaquants de contourner la séparation des locataires tout en obtenant la possibilité de :
- Obtenez des informations d'identification pour d'autres comptes clients Azure Synapse.
- Contrôlez leurs espaces de travail Azure Synapse.
- Exécutez du code sur des ordinateurs clients ciblés dans le service Azure Synapse Analytics.
- Divulgation des informations d'identification du client à des sources de données en dehors d'Azure.
Un attaquant ne connaissant que le nom d'un espace de travail Azure Synapse pourrait, comme le montre cette vidéo, espionner les informations d'identification d'une victime saisies dans Synapse de la manière suivante.
Qu'est-ce qu'Azure Synapse Analytics ?
Azure Synapse Analytics importe et traite les données de nombreuses sources de données client (par exemple, CosmosDB, Azure Data Lake et des sources externes comme Amazon S3).
Chaque instance de Synapse est appelée un espace de travail. Pour importer et traiter des données à partir d'une source de données externe, un client entre des informations d'identification et des données pertinentes, puis se connecte à cette source via un environnement d'exécution d'intégration, une machine qui se connecte à de nombreuses sources de données différentes.
Les runtimes d'intégration peuvent être auto-hébergés (sur site) ou hébergés dans le cloud Azure (via le runtime d'intégration Azure Data Factory). Les IR Azure hébergés dans le cloud peuvent également être configurés avec un réseau virtuel géré (VNet) pour utiliser des points de terminaison privés pour les connexions externes, ce qui peut fournir des couches d'isolation supplémentaires.
À quel point SynLapse était-il critique ?
SynLapse a permis aux attaquants d'accéder aux ressources Synapse détenues par d'autres clients via un serveur d'API Azure interne qui gère les runtimes d'intégration. Étant donné que l'équipe Orca connaissait le nom d'un espace de travail, elle a pu effectuer les opérations suivantes :
- Obtenez une autorisation dans d'autres comptes clients tout en agissant en tant qu'espace de travail Synapse. Selon la configuration, l'équipe aurait pu accéder à encore plus de ressources au sein d'un compte client.
- Lecture des informations d'identification que les clients ont stockées dans leur espace de travail Synapse.
- Communication avec les runtimes d'intégration d'autres clients. L'équipe Orca a pu l'utiliser pour exécuter du code à distance (RCE) sur les environnements d'exécution d'intégration de n'importe quel client.
- Contrôlez le pool de lots Azure qui gère tous les runtimes d'intégration partagés. Orca était capable d'exécuter du code sur n'importe quelle instance.
Atténuation future
Après des discussions avec Microsoft, Orca Security estime désormais qu'Azure Synapse Analytics est sécurisé et offre une isolation adéquate des locataires. Pour cette raison, Orca a supprimé les alertes Synapse de la plate-forme Orca Cloud Security. Microsoft continue de travailler sur une isolation et un renforcement supplémentaires.
Plus sur Orca.security
À propos d'Orca Security Orca Security offre une sécurité et une conformité prêtes à l'emploi pour AWS, Azure et GCP, sans les lacunes de couverture, la fatigue des alertes et les coûts opérationnels des agents ou des side-cars. Simplifiez les opérations de sécurité du cloud avec une plate-forme CNAPP unique pour la protection des charges de travail et des données, la gestion de la posture de sécurité du cloud (CSPM), la gestion des vulnérabilités et la conformité. Orca Security hiérarchise les risques en fonction de la gravité des problèmes de sécurité, de l'accessibilité et de l'impact sur l'entreprise.