安全專家指責微軟在修復關鍵漏洞上耗時長
多名安全專家近期指責微軟,稱其在回應威脅其客戶的漏洞報告時缺乏透明度和足夠的速度。在本週二發布的博文中就闡述了微軟在這方面的失敗,內容稱微軟在修復Azure 中的一個關鍵漏洞用了5 個月的時間,而且先後發布了3 個補丁。
Orca Security 在1 月初首次向微軟通報了該漏洞,該漏洞位於雲服務的Synapse Analytics 組件中,並且還影響了Azure 數據工廠。它使任何擁有Azure 帳戶的人都能夠訪問其他客戶的資源。
Orca Security 研究員Tzah Pahima 表示,攻擊者可以實現
● 在充當Synapse 工作區的同時在其他客戶帳戶中獲得授權。根據配置,我們可以訪問客戶帳戶中的更多資源。
● 洩露存儲在Synapse 工作區中的客戶憑據。
● 與其他客戶的集成運行時進行通信。可以利用它在任何客戶的集成運行時上運行遠程代碼(RCE)。
● 控制管理所有共享集成運行時的Azure 批處理池。可以在每個實例上運行代碼。
Pahima 說,儘管該漏洞很緊迫,但微軟的響應者卻遲遲沒有意識到它的嚴重性。微軟在前兩個補丁中搞砸了,直到週二,微軟才發布了完全修復該漏洞的更新。Pahima 提供的時間表顯示了他的公司花費了多少時間和工作來引導微軟完成整治過程:
● 1 月4 日– Orca 安全研究團隊向Microsoft 安全響應中心(MSRC) 披露了該漏洞,以及我們能夠提取的密鑰和證書。
● 2 月19 日和3 月4 日——MSRC 要求提供更多細節以幫助其調查。每次,我們都會在第二天回复。
● 3 月下旬– MSRC 部署了初始補丁。
● 3 月30 日– Orca 能夠繞過補丁。突觸仍然脆弱。
● 3 月31 日- Azure 獎勵我們60,000 美元用於我們的發現。
● 4 月4 日(披露後90 天)– Orca Security 通知Microsoft 密鑰和證書仍然有效。Orca 仍然可以訪問Synapse 管理服務器。
● 4 月7 日– Orca 與MSRC 會面,以闡明該漏洞的影響以及全面修復該漏洞所需的步驟。
● 4 月10 日- MSRC 修補繞過,最終撤銷Synapse 管理服務器證書。Orca 能夠再次繞過補丁。突觸仍然脆弱。
● 4 月15 日- MSRC 部署第三個補丁,修復RCE 和報告的攻擊向量。
● 5 月9 日– Orca Security 和MSRC 都發布了博客,概述了漏洞、緩解措施和針對客戶的建議。
● 5 月底– Microsoft 部署了更全面的租戶隔離,包括用於共享Azure 集成運行時的臨時實例和範圍令牌。
他表示:“任何使用Azure Synapse 服務的人都可以利用這兩個漏洞。在評估情況後,微軟決定默默修補其中一個問題,淡化風險。只是在被告知我們將要上市之後,他們的故事才發生了變化……在最初的漏洞通知後89 天……他們私下承認了安全問題的嚴重性。迄今為止,尚未通知Microsoft 客戶”。