Orca Security критикує повільну реакцію Microsoft на усунення вразливості SynLapse, яку було закрито лише через 100 днів. Рекомендується додаткова ізоляція та посилення для кращої безпеки хмари.
Незважаючи на те, що SynLapse (CVE-2022-29972) є критичною вразливістю, корпорації Майкрософт знадобилося понад 100 днів, щоб виконати необхідні кроки для усунення вразливості.
100 днів відкритої вразливості
Після того як 4 січня корпорацію Майкрософт повідомили про вразливість SynLapse і після кількох подальших дій, перший патч було надано лише в березні, і Orca Security змогла обійти його. Корпорація Майкрософт нарешті виправила початкову вразливість 10 квітня, але Orca Security вважає, що основну проблему поділу орендарів на рівні інфраструктури використовували занадто довго.
SynLapse – технічні деталі критичної вразливості в Azure Synapse
Зараз вектор атаки остаточно закритий, рекомендується додаткове посилення. Останній блог Orca Security описує технічні деталі SynLapse як продовження попереднього блогу. Orca відклала випуск до цього часу, щоб дати клієнтам Synapse час виправити свої локальні версії та переглянути можливість використання Azure Synapse. MSRC вніс кілька покращень і продовжує працювати над комплексною ізоляцією орендарів.
Цаху Пахімі, досліднику Orca Security, приписують відкриття SynLapse — критичної вразливості в Microsoft Azure Synapse Analytics, яка також вплинула на Azure Data Factory. Це дозволило зловмисникам обійти поділ орендарів, отримавши можливість:
- Отримайте облікові дані для інших облікових записів клієнтів Azure Synapse.
- Контроль над їхніми робочими просторами Azure Synapse.
- Запустіть код на цільових клієнтських машинах у службі Azure Synapse Analytics.
- Розкриття облікових даних клієнта джерелам даних за межами Azure.
Зловмисник, який знає лише назву робочої області Azure Synapse може, як показує це відео, шпигувати за обліковими даними жертви, введеними в Synapse таким чином.
Що таке Azure Synapse Analytics?
Azure Synapse Analytics імпортує й обробляє дані з багатьох джерел даних клієнтів (наприклад, CosmosDB, Azure Data Lake і зовнішніх джерел, таких як Amazon S3).
Кожен екземпляр Synapse називається робочою областю. Щоб імпортувати та обробити дані із зовнішнього джерела даних, клієнт вводить облікові дані та відповідні дані, а потім підключається до цього джерела через середовище виконання інтеграції — машину, яка підключається до багатьох різних джерел даних.
Середовища виконання інтеграції можуть розміщуватися самостійно (локально) або розміщуватися в хмарі Azure (через середовище виконання інтеграції Azure Data Factory). Azure IR, розміщені в хмарі, також можна налаштувати за допомогою керованої віртуальної мережі (VNet) для використання приватних кінцевих точок для зовнішніх з’єднань, що може забезпечити додаткові рівні ізоляції.
Наскільки критичним був SynLapse?
SynLapse дозволив зловмисникам отримати доступ до ресурсів Synapse, що належать іншим клієнтам, через внутрішній сервер Azure API, який керує середовищами виконання інтеграції. Оскільки команда Orca знала назву робочої області, вони змогли виконати наступне:
- Отримайте авторизацію в інших облікових записах клієнтів, діючи як робочий простір Synapse. Залежно від конфігурації команда могла отримати доступ до навіть більшої кількості ресурсів в обліковому записі клієнта.
- Читання облікових даних, які клієнти зберегли у своїй робочій області Synapse.
- Зв'язок із середовищами виконання інтеграції інших клієнтів. Команда Orca змогла використати це для запуску віддаленого коду (RCE) у будь-якому середовищі інтеграції клієнта.
- Контроль над пакетним пулом Azure, який керує всіма спільними середовищами виконання інтеграції. Orca могла запускати код у будь-якому екземплярі.
Майбутнє пом'якшення
Після обговорення з Microsoft компанія Orca Security тепер вважає, що Azure Synapse Analytics є безпечною та забезпечує належну ізоляцію клієнта. Через це Orca видалила сповіщення Synapse з платформи Orca Cloud Security. Microsoft продовжує працювати над додатковою ізоляцією та захистом.
Більше на Orca.security
Про Orca Security Orca Security забезпечує готову безпеку та відповідність вимогам для AWS, Azure та GCP — без розривів у охопленні, втоми від сповіщень і операційних витрат на агентів або коляски. Спростіть операції безпеки в хмарі за допомогою єдиної платформи CNAPP для захисту робочого навантаження та даних, керування безпекою в хмарі (CSPM), керування вразливістю та відповідності. Orca Security визначає пріоритетність ризиків на основі серйозності проблеми безпеки, доступності та впливу на бізнес.