许多安全专家最近指责微软在响应威胁其客户的漏洞报告时缺乏透明度和足够的速度。周二发表的一篇博文解释了微软在这方面的失败。内容称,微软花了5个月的时间修复了Azure的一个严重漏洞,并发布了3个补丁。OrcaSecurity在1月初首次向微软通报了该漏洞,该漏洞存在于云服务的SynapseAnalytics组件中,也会影响Azure数据工厂。它使任何拥有Azure帐户的人都可以访问其他客户的资源。Orca安全研究员TzahPahima表示,攻击者可以在充当Synapse工作区的同时获得其他客户帐户的授权。根据配置,我们可以访问客户帐户中的更多资源。暴露存储在Synapse工作区中的客户凭据。与其他客户的集成运行时进行通信。它可用于在任何客户的集成运行时上运行远程代码(RCE)。控制管理所有共享集成运行时的AzureBatch池。代码可以在每个实例上运行。Pahima说,尽管漏洞很紧迫,但微软的响应者却迟迟没有意识到它的严重性。微软搞砸了前两个补丁,直到周二才发布完全修复该错误的更新。Pahima提供的时间表显示了他的公司花费了多少时间和工作来指导Microsoft完成修复过程:1月4日——Orca安全研究团队向Microsoft安全响应中心(MSRC)披露了该漏洞,以及我们能够提取的内容密钥和证书。2月19日和3月4日-MSRC要求提供更多详细信息以帮助其调查。每次,我们都会在第二天回复。三月下旬-MSRC部署初始补丁。3月30日-Orca能够绕过补丁。突触仍然很脆弱。3月31日-Azure奖励我们60,000美元,奖励我们的发现。4月4日(披露后90天)——OrcaSecurity通知微软密钥和证书仍然有效。Orca仍然可以访问Synapse管理服务器。4月7日——Orca与MSRC会面,阐明漏洞的影响以及完全修复漏洞所需的步骤。4月10日-MSRC补丁绕过,最终吊销了Synapse管理服务器证书。Orca能够再次绕过补丁。突触仍然很脆弱。4月15日——MSRC部署了第三个补丁,修复了RCE和报告的攻击向量。5月9日——OrcaSecurity和MSRC都发布了博客,概述了漏洞、缓解措施和对客户的建议。5月底——微软部署了更全面的租户隔离,包括用于共享Azure集成运行时的临时实例和范围令牌。他说:“任何使用AzureSynapse服务的人都可以利用这两个漏洞。在评估情况后,微软决定悄悄修补其中一个问题,淡化风险。只是在被告知我们要公开之后,他们的故事才发生。更改......在首次通知漏洞后89天......他们私下承认安全问题的严重性。迄今为止,Microsoft客户尚未收到通知”。
