研究人員批評微軟修補漏洞牛步令Azure用戶曝險

安全廠商Orca與Tenable本周說明發生在Microsoft Azure一項服務的漏洞，並指微軟對漏洞的回應動作太慢及透明度不佳，讓用戶曝於風險。

Synapse Analytics是供機器學習、資料集結及其他高運算用量任務的平臺。它可從許多資料源如CosmosDB、Azure Data Lake及Amazon S3匯入資料。而為了從外部資料源匯入資料，用戶必須輸入憑證及相關資料，再經由整合runtime（integration runtime，IR）連到資源源。IR可以執行在用戶本地部署環境或Azure雲上，若是後者，用戶還可設定VNet（代管虛擬網路），以私密端點連到外部資源，這可提供租戶隔離之效。

研究人員發現介接IR的第三方ODBC（Open Database Connectivity）驅動程式的一項漏洞，影響Azure Synapse及Azure Data Factory。

該漏洞編號CVE-2022-29972，Orca研究人員稱之為SynLapse。攻擊者可藉此攻擊Azure Synapse租戶，以控制Azure Synapse的工作空間（workspace）、在Azure Synapse服務內的目標機器上執行程式碼、以及將客戶驗證憑證傳到外部目的地，及取得其他用戶帳號的驗證憑證（Azure keys、API token、密碼等）。

圖片來源／Orca

微軟已在5月的Patch Tuesday中修補這項漏洞，但是研究人員對微軟修補漏洞不確實及速度感到不滿。

Orca研究人員Tzah Pahima指出，他在今年1月4日通報微軟安全回應中心，並提供了他們取得的憑證和金鑰。之後微軟分別在3月底及4月初釋出修補，兩次都被繞過，最後在4月15日的第3次終於修補完成。距通報後已經100多天，而且微軟到第96天才撤銷失竊的憑證。微軟5月底又提高租戶安全隔離，包括短期執行個體（ephemeral instances）及限定範圍的共享Azure Integration Runtimes token 。

Tenable則是批評微軟作業不夠透明，該公司3月發現Synapse 2項漏洞，其中之一即CVE-2022-29972。執行長Amit Yoran則指出，微軟一開始打算悄悄修補，直到研究人員威脅要公布，微軟才決定公開，距離最初通報已89天。

Yoran指出，雖然微軟承認漏洞的重要性，迄今（截至6月13日）卻仍未通知用戶。他說，基礎架構或雲端服務業者欠缺透明度，將使用戶風險大為提升，因為用戶不知自己是否曝險，或已經被攻擊，若不通知客戶，將使其喪失蒐集證據的機會，是不責任的政策。他認為必須讓雲端供應商遵守透明度標準，而對雲端廠商實施獨立IT基礎架構的稽核及評估也有其必要性。