Microsoft chiude le vulnerabilità note solo dopo 100 giorni

8. Luglio 2022
| Non ci sono commenti
Microsoft chiude le vulnerabilità note solo dopo 100 giorni

Condividi post

Orca Security critica la lenta reazione di Microsoft nel correggere la vulnerabilità SynLapse, che è stata chiusa solo dopo 100 giorni. Si consiglia un ulteriore isolamento e rafforzamento per una migliore sicurezza del cloud. 

Sebbene SynLapse (CVE-2022-29972) sia una vulnerabilità critica, Microsoft ha impiegato oltre 100 giorni per completare i passaggi necessari per risolvere la vulnerabilità.

Vulnerabilità aperta 100 giorni

Dopo che Microsoft è stata informata della vulnerabilità SynLapse il 4 gennaio e dopo diversi follow-up, la prima patch è stata fornita solo a marzo, che Orca Security è stata in grado di aggirare. Microsoft ha finalmente risolto la vulnerabilità originale il 10 aprile, ma Orca Security ritiene che il problema alla base della segregazione dei tenant a livello di infrastruttura sia stato sfruttato per troppo tempo.

SynLapse: dettagli tecnici della vulnerabilità critica in Azure Synapse

Un vettore di attacco è ora finalmente chiuso, si consiglia un ulteriore indurimento. L'ultimo blog di Orca Security descrive i dettagli tecnici di SynLapse, come continuazione del blog precedente. Orca ha ritardato il rilascio fino ad ora per dare ai clienti di Synapse il tempo di applicare patch alle loro versioni locali e riconsiderare l'uso di Azure Synapse. MSRC ha apportato diversi miglioramenti e continua a lavorare per un isolamento completo degli inquilini.

A Tzah Pahima, ricercatore presso Orca Security, è attribuita la scoperta di SynLapse, una vulnerabilità critica in Microsoft Azure Synapse Analytics che ha interessato anche Azure Data Factory. Ha consentito agli aggressori di aggirare la separazione degli inquilini acquisendo la capacità di:

  • Ottenere le credenziali per altri account cliente di Azure Synapse.
  • Controllo sulle aree di lavoro di Azure Synapse.
  • Esegui il codice nei computer dei clienti di destinazione all'interno del servizio Azure Synapse Analytics.
  • Divulgazione delle credenziali del cliente a origini dati esterne ad Azure.

Un utente malintenzionato che conosce solo il nome di un'area di lavoro di Azure Synapse potrebbe, come mostra questo video, spiare le credenziali di una vittima inserite in Synapse nel seguente modo.

Che cos'è Azure Synapse Analytics?

Azure Synapse Analytics importa ed elabora i dati da molte origini dati dei clienti (ad esempio CosmosDB, Azure Data Lake e origini esterne come Amazon S3).

Ogni istanza di Synapse è chiamata area di lavoro. Per importare ed elaborare i dati da un'origine dati esterna, un cliente immette le credenziali e i dati pertinenti, quindi si connette a tale origine tramite un runtime di integrazione, una macchina che si connette a molte origini dati diverse.

I runtime di integrazione possono essere ospitati autonomamente (in locale) o ospitati nel cloud di Azure (tramite il runtime di integrazione di Azure Data Factory). Gli Azure IR ospitati nel cloud possono anche essere configurati con una rete virtuale gestita (VNet) per usare endpoint privati ​​per le connessioni esterne, che possono fornire ulteriori livelli di isolamento.

Quanto è stato critico SynLapse?

SynLapse ha consentito agli aggressori di accedere alle risorse Synapse di proprietà di altri clienti tramite un server API di Azure interno che gestisce i runtime di integrazione. Poiché il team Orca conosceva il nome di un'area di lavoro, è stato in grado di eseguire le seguenti operazioni:

  • Ottieni l'autorizzazione all'interno di altri account cliente mentre agisci come area di lavoro Synapse. A seconda della configurazione, il team avrebbe potuto accedere a un numero ancora maggiore di risorse all'interno di un account cliente.
  • Lettura delle credenziali che i clienti hanno archiviato nella propria area di lavoro Synapse.
  • Comunicazione con i runtime di integrazione di altri clienti. Il team di Orca è stato in grado di utilizzarlo per eseguire il codice remoto (RCE) sui runtime di integrazione di qualsiasi cliente.
  • Controllo sul pool batch di Azure che gestisce tutti i runtime di integrazione condivisi. Orca è stata in grado di eseguire il codice su qualsiasi istanza.

Mitigazione futura

Dopo le discussioni con Microsoft, Orca Security ora ritiene che Azure Synapse Analytics sia sicuro e fornisca un adeguato isolamento del tenant. Per questo motivo, Orca ha rimosso gli avvisi Synapse dalla piattaforma Orca Cloud Security. Microsoft continua a lavorare su ulteriore isolamento e rafforzamento.

Altro su Orca.security

 

Informazioni su Orca Security

Orca Security offre sicurezza e conformità pronte all'uso per AWS, Azure e GCP, senza le lacune nella copertura, l'affaticamento degli avvisi e i costi operativi di agenti o sidecar. Semplifica le operazioni di sicurezza nel cloud con un'unica piattaforma CNAPP per la protezione dei carichi di lavoro e dei dati, la gestione della posizione di sicurezza nel cloud (CSPM), la gestione delle vulnerabilità e la conformità. Orca Security assegna la priorità ai rischi in base alla gravità dei problemi di sicurezza, all'accessibilità e all'impatto aziendale.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , , , , ,