Microsoft は、既知の脆弱性を 100 日後にのみクローズします

8。 7月2022
| コメントはありません
Microsoft は、既知の脆弱性を 100 日後にのみクローズします

投稿を共有する

Orca Security は、SynLapse の脆弱性を修正する際の Microsoft の対応が遅かったことを批判しており、この脆弱性は 100 日後にクローズされました。 クラウド セキュリティを向上させるために、さらなる分離と強化をお勧めします。 

SynLapse (CVE-2022-29972) は重大な脆弱性ですが、Microsoft がこの脆弱性を解決するために必要な手順を完了するのに 100 日以上かかりました。

100 日間のオープンな脆弱性

Microsoft が 4 月 10 日に SynLapse の脆弱性について知らされた後、いくつかのフォローアップの後、最初のパッチが提供されたのは XNUMX 月になってからで、Orca Security はそれを回避することができました。 Microsoft は XNUMX 月 XNUMX 日に元の脆弱性を最終的に修正しましたが、Orca Security は、インフラストラクチャ レベルのテナント分離の根本的な問題があまりにも長い間悪用されてきたと考えています。

SynLapse - Azure Synapse の重大な脆弱性に関する技術的な詳細

攻撃ベクトルは最終的に閉鎖され、追加の強化が推奨されます。 Orca Security の最新のブログでは、以前のブログの続きとして、SynLapse の技術的な詳細について説明しています。 Orca は、Synapse の顧客がオンプレミス バージョンにパッチを適用し、Azure Synapse の使用を再考する時間を与えるために、今までリリースを遅らせてきました。 MSRC はいくつかの改善を行い、包括的なテナント分離に向けて取り組み続けています。

Orca Security の研究者である Tzah Pahima は、SynLapse を発見したことで知られています。SynLapse は、Microsoft Azure Synapse Analytics の重大な脆弱性であり、Azure Data Factory にも影響を及ぼしました。 これにより、攻撃者は次の機能を獲得しながら、テナントの分離を回避することができました。

  • 他の Azure Synapse 顧客アカウントの資格情報を取得します。
  • Azure Synapse ワークスペースを制御します。
  • Azure Synapse Analytics サービス内の対象のお客様のマシンでコードを実行します。
  • Azure 外部のデータ ソースへの顧客資格情報の開示。

Azure Synapse ワークスペースの名前しか知らない攻撃者 このビデオが示すように、次の方法で Synapse に入力された被害者の資格情報をスパイできます。.

Azure Synapse Analytics とは何ですか?

Azure Synapse Analytics は、多くの顧客データ ソース (CosmosDB、Azure Data Lake、Amazon S3 などの外部ソースなど) からデータをインポートして処理します。

各 Synapse インスタンスはワークスペースと呼ばれます。 外部データ ソースからデータをインポートして処理するには、顧客は資格情報と関連データを入力し、統合ランタイム (さまざまなデータ ソースに接続するマシン) を介してそのソースに接続します。

統合ランタイムは、自己ホスト型 (オンプレミス) にすることも、Azure クラウドで (Azure Data Factory 統合ランタイムを介して) ホストすることもできます。 クラウドでホストされている Azure IR は、マネージド仮想ネットワーク (VNet) を使用して構成して、外部接続にプライベート エンドポイントを使用することもできます。これにより、追加の分離レイヤーを提供できます。

SynLapse はどの程度重要でしたか?

SynLapse により、攻撃者は、統合ランタイムを管理する内部 Azure API サーバーを介して、他の顧客が所有する Synapse リソースにアクセスできました。 Orca チームはワークスペースの名前を知っていたため、次のことを実行できました。

  • Synapse ワークスペースとして機能しながら、他の顧客アカウント内で承認を取得します。 構成によっては、チームは顧客アカウント内のさらに多くのリソースにアクセスできた可能性があります。
  • 顧客が Synapse ワークスペースに保存した認証情報を読み取る。
  • 他の顧客の統合ランタイムとの通信。 Orca チームはこれを使用して、顧客の統合ランタイムでリモート コード (RCE) を実行することができました。
  • すべての共有統合ランタイムを管理する Azure バッチ プールを制御します。 Orca は、任意のインスタンスでコードを実行できました。

今後の緩和

Microsoft との話し合いの結果、Orca Security は現在、Azure Synapse Analytics が安全であり、適切なテナント分離を提供していると確信しています。 このため、Orca は Synapse アラートを Orca クラウド セキュリティ プラットフォームから削除しました。 Microsoft は、追加の分離と強化に引き続き取り組んでいます。

Orca.security の詳細

 

Orca セキュリティについて

Orca Security は、AWS、Azure、GCP にすぐに使用できるセキュリティとコンプライアンスを提供します。エージェントやサイドカーのカバレッジ、アラート疲れ、運用コストのギャップはありません。 ワークロードとデータ保護、クラウド セキュリティ体制管理 (CSPM)、脆弱性管理、およびコンプライアンスのための単一の CNAPP プラットフォームを使用して、クラウド セキュリティ運用を簡素化します。 Orca Security は、セキュリティ問題の重大度、アクセシビリティ、およびビジネスへの影響に基づいてリスクに優先順位を付けます。

 

トピックに関連する記事

5G環境を保護するサイバーセキュリティプラットフォーム

サイバーセキュリティの専門家であるトレンドマイクロが、組織の拡大し続ける攻撃対象領域を保護するためのプラットフォームベースのアプローチを発表しました。 ➡続きを読む

データ操作、過小評価されている危険性

毎年 31 月 XNUMX 日の世界バックアップの日は、最新の簡単にアクセスできるバックアップの重要性を思い出させるものです。 ➡続きを読む

セキュリティリスクとしてのプリンター

企業のプリンター群はますます盲点になりつつあり、その効率性とセキュリティーに関して大きな問題を引き起こしています。 ➡続きを読む

AI 法とそのデータ保護への影響

AI 法により、AI に関する最初の法律が承認され、AI アプリケーションのメーカーに 6 か月から 6 か月の猶予期間が与えられました。 ➡続きを読む

Windows オペレーティング システム: 約 200 万台のコンピュータが危険にさらされています

Windows 7 および 8 オペレーティング システムのアップデートはもうありません。これは、セキュリティ上のギャップが開いていることを意味するため、価値があり、 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

ゼロトラスト データ セキュリティのための DSPM 製品スイート

データ セキュリティ体制管理 (略して DSPM) は、企業が多数のデータに対するサイバー回復力を確保するために不可欠です。 ➡続きを読む

データ暗号化: クラウド プラットフォームのセキュリティを強化

最近では Trello など、オンライン プラットフォームがサイバー攻撃の標的になることがよくあります。クラウドでより効果的なデータ暗号化を実現する 5 つのヒント ➡続きを読む

広報メッセージ
, , , , , , ,