Microsoft schließt bekannte Sicherheitslücke erst nach 100 Tagen

Microsoft schließt bekannte Sicherheitslücke erst nach 100 Tagen

Beitrag teilen

Orca Security bemängelt die langsame Reaktion von Microsoft beim Beheben der SynLapse-Sicherheitslücke die erst nach 100 Tagen geschlossen wurde. Weitere Isolation und Härtung zur besseren Cloud-Sicherheit wird empfohlen. 

Obwohl es sich bei SynLapse (CVE-2022-29972) um eine kritische Sicherheitslücke handelt, hat Microsoft über 100 Tage gebraucht, um die erforderlichen Schritte zur Behebung der Sicherheitslücke durchzuführen.

Anzeige

100 Tage offene Sicherheitslücke

Nachdem Microsoft am 4. Januar über die SynLapse-Schwachstelle informiert wurde und nach mehreren Follow-ups wurde der erste Patch erst im März bereitgestellt, was Orca Security jedoch umgehen konnte. Microsoft hat die ursprüngliche Schwachstelle schließlich am 10. April behoben, aber Orca Security ist der Meinung, dass das zugrundeliegende Problem der Mandantentrennung auf Infrastrukturebene zu lange ausgenutzt werden konnte.

SynLapse – Technische Details zur kritischen Schwachstelle in Azure Synapse

Ein Angriffsvektor ist nun endlich geschlossen, zusätzliche Härtung ist zu empfehlen. Der aktuelle Blog von Orca Security beschreibt die technischen Details von SynLapse, als Fortsetzung des vorherigen Blogs. Orca hat mit der Veröffentlichung bis jetzt gewartet, um Synapse-Kunden Zeit zu geben, ihre lokalen Versionen zu patchen und ihre Nutzung von Azure Synapse zu überdenken. MSRC hat mehrere Verbesserungen vorgenommen und arbeitet weiter an einer umfassenden Tenant-Isolation.

Tzah Pahima, Forscher bei Orca Security, wird die Entdeckung von SynLapse zugeschrieben – einer kritischen Sicherheitslücke in Microsoft Azure Synapse Analytics, die auch Azure Data Factory betraf. Sie ermöglichte es Angreifern, die Mandantentrennung zu umgehen und gleichzeitig folgende Fähigkeiten zu erlangen:

  • Zugangsdaten für andere Azure-Synapse-Kundenkonten zu erlangen.
  • Kontrolle über deren Azure-Synapse-Arbeitsbereiche.
  • Code auf gezielten Kundenrechnern innerhalb des Azure Synapse Analytics-Dienstes auszuführen.
  • Weitergabe von Kundenzugangsdaten an Datenquellen außerhalb von Azure.

Ein Angreifer, der nur den Namen eines Azure Synapse-Arbeitsbereichs kennt, könnte wie dieses Video zeigt auf folgende Weise die in Synapse eingegebenen Zugangsdaten eines Opfers ausspähen.

Was ist Azure Synapse Analytics?

Azure Synapse Analytics importiert und verarbeitet Daten aus vielen Kundendatenquellen (z. B. CosmosDB, Azure Data Lake und externen Quellen wie Amazon S3).

Jede Synapse-Instanz wird als Workspace bezeichnet. Um Daten aus einer externen Datenquelle zu importieren und zu verarbeiten, gibt ein Kunde Zugangsdaten und relevante Daten ein und stellt dann über eine Integration Runtime eine Verbindung zu dieser Quelle her – eine Maschine, die eine Verbindung zu vielen verschiedenen Datenquellen herstellt.

Integration Runtimes können entweder selbst (On-Premises) oder in der Azure Cloud gehostet werden (über die Azure Data Factory Integration Runtime). In der Cloud gehostete Azure IRs können auch mit einem Managed Virtual Network (VNet) konfiguriert werden, um private Endpunkte für externe Verbindungen zu verwenden, was zusätzliche Isolationsebenen bieten kann.

Wie kritisch war SynLapse?

SynLapse ermöglichte es Angreifern, über einen internen Azure-API-Server, der die Integration Runtimes verwaltet, auf Synapse-Ressourcen zuzugreifen, die anderen Kunden gehören. Da das Orca-Team den Namen eines Arbeitsbereichs kannte, war es in der Lage, Folgendes durchzuführen:

  • Autorisierung innerhalb anderer Kundenkonten zu erlangen, während des Agierens als Synapse Workspace. Je nach Konfiguration hätte das Team auf noch mehr Ressourcen innerhalb eines Kundenkontos zugreifen können.
  • Auslesen von Zugangsdaten, die Kunden in ihrem Synapse-Arbeitsbereich gespeichert haben.
  • Kommunikation mit den Integration Runtimes anderer Kunden. Das Orca-Team konnte dies nutzen, um Remote-Code (RCE) auf den Integration Runtimes eines beliebigen Kunden auszuführen.
  • Kontrolle über den Azure-Batch-Pool, der alle gemeinsam genutzten Integration Runtimes verwaltet. Orca war in der Lage, Code auf jeder Instanz auszuführen.

Zukünftige Entschärfung

Nach Gesprächen mit Microsoft ist Orca Security nun der Ansicht, dass Azure Synapse Analytics sicher ist und eine ausreichende Tenant-Isolation bietet. Aus diesem Grund hat Orca die Warnmeldungen zu Synapse aus der Orca Cloud Security-Plattform entfernt. Microsoft arbeitet weiterhin an zusätzlicher Isolation und Härtung.

Mehr bei Orca.security

 


Über Orca Security

Orca Security bietet sofortige Sicherheit und Compliance für AWS, Azure und GCP – ohne die Lücken in der Abdeckung, die Ermüdung durch Alarme und die Betriebskosten von Agenten oder Sidecars. Vereinfachen Sie die Cloud-Sicherheitsabläufe mit einer einzigen CNAPP-Plattform für den Schutz von Workloads und Daten, Cloud Security Posture Management (CSPM), Schwachstellenmanagement und Compliance. Orca Security priorisiert Risiken auf der Grundlage des Schweregrads des Sicherheitsproblems, der Zugänglichkeit und der geschäftlichen Auswirkungen.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen