社区编辑申请
注册/登录
安全专家指责微软在修复关键漏洞上耗时长
安全
多名安全专家近期指责微软,称其在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度。

多名安全专家近期指责微软,称其在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度。在本周二发布的博文中就阐述了微软在这方面的失败,内容称微软在修复 Azure 中的一个关键漏洞用了 5 个月的时间,而且先后发布了 3 个补丁。

Orca Security 在 1 月初首次向微软通报了该漏洞,该漏洞位于云服务的 Synapse Analytics 组件中,并且还影响了 Azure 数据工厂。它使任何拥有 Azure 帐户的人都能够访问其他客户的资源。

ezgif.com-gif-maker.gif

Orca Security 研究员 Tzah Pahima 表示,攻击者可以实现

  • 在充当 Synapse 工作区的同时在其他客户帐户中获得授权。根据配置,我们可以访问客户帐户中的更多资源。
  • 泄露存储在 Synapse 工作区中的客户凭据。
  • 与其他客户的集成运行时进行通信。可以利用它在任何客户的集成运行时上运行远程代码 (RCE)。
  • 控制管理所有共享集成运行时的 Azure 批处理池。可以在每个实例上运行代码。

Pahima 说,尽管该漏洞很紧迫,但微软的响应者却迟迟没有意识到它的严重性。微软在前两个补丁中搞砸了,直到周二,微软才发布了完全修复该漏洞的更新。 Pahima 提供的时间表显示了他的公司花费了多少时间和工作来引导微软完成整治过程:

  • 1 月 4 日 – Orca 安全研究团队向 Microsoft 安全响应中心 (MSRC) 披露了该漏洞,以及我们能够提取的密钥和证书。
  • 2 月 19 日和 3 月 4 日——MSRC 要求提供更多细节以帮助其调查。每次,我们都会在第二天回复。
  • 3 月下旬 – MSRC 部署了初始补丁。
  • 3 月 30 日 – Orca 能够绕过补丁。突触仍然脆弱。
  • 3 月 31 日 - Azure 奖励我们 60,000 美元用于我们的发现。
  • 4 月 4 日(披露后 90 天)– Orca Security 通知 Microsoft 密钥和证书仍然有效。 Orca 仍然可以访问 Synapse 管理服务器。
  • 4 月 7 日 – Orca 与 MSRC 会面,以阐明该漏洞的影响以及全面修复该漏洞所需的步骤。
  • 4 月 10 日 - MSRC 修补绕过,最终撤销 Synapse 管理服务器证书。 Orca 能够再次绕过补丁。突触仍然脆弱。
  • 4 月 15 日 - MSRC 部署第三个补丁,修复 RCE 和报告的攻击向量。
  • 5 月 9 日 – Orca Security 和 MSRC 都发布了博客,概述了漏洞、缓解措施和针对客户的建议。
  • 5 月底 – Microsoft 部署了更全面的租户隔离,包括用于共享 Azure 集成运行时的临时实例和范围令牌。

他表示:“任何使用 Azure Synapse 服务的人都可以利用这两个漏洞。在评估情况后,微软决定默默修补其中一个问题,淡化风险。只是在被告知我们将要上市之后,他们的故事才发生了变化……在最初的漏洞通知后 89 天……他们私下承认了安全问题的严重性。迄今为止,尚未通知 Microsoft 客户”。

责任编辑:未丽燕 来源: cnBeta.COM
相关推荐

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-09 18:04:46

网络攻击网络安全

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-24 11:34:38

云计算应用安全

2022-06-20 14:57:50

漏洞安全威胁

2022-06-20 13:34:46

漏洞网络攻击

2022-06-16 07:32:38

VSCodePython插件

2022-06-23 09:49:16

火绒安全英特尔

2022-05-11 09:18:04

微软PowerShell降级

2022-06-09 10:12:01

网络安全人工智能威胁监测

2022-06-22 10:23:42

互联网用户IE浏览器退休

2022-05-16 07:35:21

Windows远程桌面远程服务器

2022-06-16 11:33:57

物联网区块链科技

2022-05-09 15:08:56

存储厂商NFV领域华为

2022-06-17 11:24:52

2022-06-16 16:12:57

网络资产攻击面管理CAASM

2022-06-15 14:40:54

英特尔漏洞

2022-06-09 06:57:53

Windows 10Windows 11微软

2022-05-26 07:18:54

Windows 11RTM22H2

2022-06-15 17:55:43

IE浏览器Windows微软

同话题下的热门内容

无线网络安全的12个优秀实践如何避免严重网络安全事故的发生?Google发布《SOC建设指南》,对未来SOC提出新思考六个优秀漏洞管理工具以及它们如何帮助确定威胁的优先级如何做好统一身份认证账号管理及集成?摒弃传统的用户名和密码登录防不胜防?网络钓鱼攻击常用手法盘点与防护建议首席信息安全官仍然会犯的漏洞管理错误

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号