Microsoft ne ferme les vulnérabilités connues qu'après 100 jours

8 juillet 2022
| Pas de commentaires
Microsoft ne ferme les vulnérabilités connues qu'après 100 jours

Partager le post

Orca Security critique la lenteur de réaction de Microsoft pour corriger la vulnérabilité SynLapse, qui n'a été fermée qu'après 100 jours. Une isolation et un renforcement supplémentaires pour une meilleure sécurité du cloud sont recommandés. 

Bien que SynLapse (CVE-2022-29972) soit une vulnérabilité critique, il a fallu plus de 100 jours à Microsoft pour effectuer les étapes nécessaires à la résolution de la vulnérabilité.

100 jours de vulnérabilité ouverte

Après que Microsoft a été informé de la vulnérabilité SynLapse le 4 janvier et après plusieurs suivis, le premier correctif n'a été fourni qu'en mars, ce qu'Orca Security a pu contourner. Microsoft a finalement corrigé la vulnérabilité d'origine le 10 avril, mais Orca Security estime que le problème sous-jacent de la ségrégation des locataires au niveau de l'infrastructure est exploité depuis trop longtemps.

SynLapse - Détails techniques de la vulnérabilité critique dans Azure Synapse

Un vecteur d'attaque est maintenant définitivement fermé, un durcissement supplémentaire est recommandé. Le dernier blog d'Orca Security décrit les détails techniques de SynLapse, dans la continuité du blog précédent. Orca a retardé la publication jusqu'à maintenant pour donner aux clients de Synapse le temps de corriger leurs versions sur site et de reconsidérer leur utilisation d'Azure Synapse. MSRC a apporté plusieurs améliorations et continue de travailler à l'isolement complet des locataires.

Tzah Pahima, chercheur chez Orca Security, est crédité d'avoir découvert SynLapse - une vulnérabilité critique dans Microsoft Azure Synapse Analytics qui a également affecté Azure Data Factory. Cela a permis aux attaquants de contourner la séparation des locataires tout en obtenant la possibilité de :

  • Obtenez des informations d'identification pour d'autres comptes clients Azure Synapse.
  • Contrôlez leurs espaces de travail Azure Synapse.
  • Exécutez du code sur des ordinateurs clients ciblés dans le service Azure Synapse Analytics.
  • Divulgation des informations d'identification du client à des sources de données en dehors d'Azure.

Un attaquant ne connaissant que le nom d'un espace de travail Azure Synapse pourrait, comme le montre cette vidéo, espionner les informations d'identification d'une victime saisies dans Synapse de la manière suivante.

Qu'est-ce qu'Azure Synapse Analytics ?

Azure Synapse Analytics importe et traite les données de nombreuses sources de données client (par exemple, CosmosDB, Azure Data Lake et des sources externes comme Amazon S3).

Chaque instance de Synapse est appelée un espace de travail. Pour importer et traiter des données à partir d'une source de données externe, un client entre des informations d'identification et des données pertinentes, puis se connecte à cette source via un environnement d'exécution d'intégration, une machine qui se connecte à de nombreuses sources de données différentes.

Les runtimes d'intégration peuvent être auto-hébergés (sur site) ou hébergés dans le cloud Azure (via le runtime d'intégration Azure Data Factory). Les IR Azure hébergés dans le cloud peuvent également être configurés avec un réseau virtuel géré (VNet) pour utiliser des points de terminaison privés pour les connexions externes, ce qui peut fournir des couches d'isolation supplémentaires.

À quel point SynLapse était-il critique ?

SynLapse a permis aux attaquants d'accéder aux ressources Synapse détenues par d'autres clients via un serveur d'API Azure interne qui gère les runtimes d'intégration. Étant donné que l'équipe Orca connaissait le nom d'un espace de travail, elle a pu effectuer les opérations suivantes :

  • Obtenez une autorisation dans d'autres comptes clients tout en agissant en tant qu'espace de travail Synapse. Selon la configuration, l'équipe aurait pu accéder à encore plus de ressources au sein d'un compte client.
  • Lecture des informations d'identification que les clients ont stockées dans leur espace de travail Synapse.
  • Communication avec les runtimes d'intégration d'autres clients. L'équipe Orca a pu l'utiliser pour exécuter du code à distance (RCE) sur les environnements d'exécution d'intégration de n'importe quel client.
  • Contrôlez le pool de lots Azure qui gère tous les runtimes d'intégration partagés. Orca était capable d'exécuter du code sur n'importe quelle instance.

Atténuation future

Après des discussions avec Microsoft, Orca Security estime désormais qu'Azure Synapse Analytics est sécurisé et offre une isolation adéquate des locataires. Pour cette raison, Orca a supprimé les alertes Synapse de la plate-forme Orca Cloud Security. Microsoft continue de travailler sur une isolation et un renforcement supplémentaires.

Plus sur Orca.security

 

À propos d'Orca Security

Orca Security offre une sécurité et une conformité prêtes à l'emploi pour AWS, Azure et GCP, sans les lacunes de couverture, la fatigue des alertes et les coûts opérationnels des agents ou des side-cars. Simplifiez les opérations de sécurité du cloud avec une plate-forme CNAPP unique pour la protection des charges de travail et des données, la gestion de la posture de sécurité du cloud (CSPM), la gestion des vulnérabilités et la conformité. Orca Security hiérarchise les risques en fonction de la gravité des problèmes de sécurité, de l'accessibilité et de l'impact sur l'entreprise.

 

Articles liés au sujet

Plateforme de cybersécurité avec protection pour les environnements 5G

Trend Micro, spécialiste de la cybersécurité, dévoile son approche basée sur une plateforme pour protéger la surface d'attaque en constante expansion des organisations, y compris la sécurisation ➡ En savoir plus

Manipulation des données, le danger sous-estimé

Chaque année, la Journée mondiale de la sauvegarde, le 31 mars, rappelle l'importance de sauvegardes à jour et facilement accessibles. ➡ En savoir plus

Les imprimantes comme risque de sécurité

Les flottes d'imprimantes d'entreprise deviennent de plus en plus un angle mort et posent d'énormes problèmes en termes d'efficacité et de sécurité. ➡ En savoir plus

La loi IA et ses conséquences sur la protection des données

Avec l'AI Act, la première loi pour l'IA a été approuvée et donne aux fabricants d'applications d'IA un délai de six mois à ➡ En savoir plus

Systèmes d'exploitation Windows : près de deux millions d'ordinateurs menacés

Il n'y a plus de mises à jour pour les systèmes d'exploitation Windows 7 et 8. Cela signifie des failles de sécurité ouvertes et, par conséquent, cela vaut la peine et ➡ En savoir plus

L'IA sur Enterprise Storage combat les ransomwares en temps réel

NetApp est l'un des premiers à intégrer l'intelligence artificielle (IA) et l'apprentissage automatique (ML) directement dans le stockage principal pour lutter contre les ransomwares. ➡ En savoir plus

Suite de produits DSPM pour la sécurité des données Zero Trust

La gestion de la posture de sécurité des données – ​​DSPM en abrégé – est cruciale pour que les entreprises assurent la cyber-résilience face à la multitude. ➡ En savoir plus

Cryptage des données : plus de sécurité sur les plateformes cloud

Les plateformes en ligne sont souvent la cible de cyberattaques, comme Trello récemment. 5 conseils pour garantir un cryptage des données plus efficace dans le cloud ➡ En savoir plus

Messages RP
, , , , , , ,