0
0
Rastreado como CVE-20220-29972, o buraco de segurança foi identificado no conector de dados de conectividade de banco de dados aberto (ODBC) de terceiros usado no Integration Runtime (IR) nos serviços Azure afetados para se conectar ao Amazon Redshift.
Um invasor remoto poderia ter explorado a falha para executar comandos arbitrários em toda a infraestrutura de RI, impactando vários inquilinos, explica a gigante da tecnologia.
A Microsoft observa que o problema permitiu que um usuário executando trabalhos em um pipeline Synapse executasse comandos remotos, potencialmente adquirindo o certificado de serviço Azure Data Factory e executando comandos no IR de outra fábrica de dados do inquilino.
“Esses certificados são específicos para a Azure Data Factory e Synapse Pipelines, e não pertencem ao resto do Azure Synapse”, explica a Microsoft.
A gigante da tecnologia lançou patches para o bug de segurança em 15 de abril e creditou aos pesquisadores da Orca Security a notificação da vulnerabilidade. Orca nomeou a falha de Sinapse.
“Essa vulnerabilidade permite que um invasor acesse e controle os espaços de trabalho sinapse de outros clientes e vaze dados confidenciais armazenados no serviço, incluindo chaves de serviço do Azure, tokens de API e senhas para outros serviços”, diz Orca.
A empresa de segurança na nuvem afirma que o problema está na separação do inquilino no Azure Synapse e que a Microsoft tentou várias correções parciais antes de finalmente corrigir a vulnerabilidade.
“Abordamos a vulnerabilidade com o lançamento das atualizações de segurança para remediar o CVE-20220-29972. Além disso, também trabalhamos com o fornecedor terceirizado na correção da vulnerabilidade no driver que foi lançada com nossas últimas atualizações”, observa a Microsoft.
A Microsoft diz que, além de abordar a execução do comando no driver impactado, reduziu os privilégios de execução de trabalho no Azure IR, endureceu o serviço com camadas adicionais de validação e revogou e reemitiu o certificado de serviço backend e outras credenciais expostas da Microsoft.
Orca diz que, embora a vulnerabilidade específica tenha sido abordada, a Microsoft não resolveu o fraco problema de separação de inquilinos, o que permitiu aos pesquisadores encontrar diferentes vetores de ataque que contornaram as correções implantadas duas vezes.
Em última análise, no entanto, a Microsoft implementou mitigações que dificultam muito a exploração, mas os pesquisadores continuam acreditando que há fraquezas que a empresa deve resolver no serviço Synapse.
“Existem áreas no serviço onde uma enorme quantidade de código microsoft e terceiros, é executado com permissões do SISTEMA, processando a entrada controlada pelo cliente. Isso é executado em máquinas compartilhadas com acesso a chaves de serviço do Azure e dados confidenciais de outros clientes. Essas áreas do serviço só possuem separação no nível do aplicativo e falta caixa de areia ou isolamento no nível do hipervisor”, diz Orca.
A empresa acrescentou: “Até que uma solução melhor seja implementada, aconselhamos que todos os clientes avaliem seu uso do serviço e se abstenham de armazenar dados ou chaves confidenciais nele.”
A Microsoft diz que sua análise da vulnerabilidade não revelou nenhum caso de abuso, além do acesso não autorizado que os pesquisadores da Orca obtiveram durante sua investigação.
Enquanto os clientes do azure Data Factory ou do azure Synapse pipeline que auto-hospedam IR (SHIR), mas não possuem atualizações automáticas habilitadas, precisam atualizar para a versão 5.17.8154.2, nenhuma ação é necessária dos clientes hospedados na nuvem ou no local com atualizações automáticas habilitadas.
FONTE: SECURITYWEEK