研究人員批評微軟修補漏洞牛步令Azure用戶曝險

安全廠商與本周說明發生在Microsoft Azure一項服務的漏洞,並指微軟對漏洞的回應動作太慢及透明度不佳,讓用戶曝於風險。

Synapse Analytics是供機器學習、資料集結及其他高運算用量任務的平臺。它可從許多資料源如CosmosDB、Azure Data Lake及Amazon S3匯入資料。而為了從外部資料源匯入資料,用戶必須輸入憑證及相關資料,再經由整合runtime(integration runtime,IR)連到資源源。IR可以執行在用戶本地部署環境或Azure雲上,若是後者,用戶還可設定VNet(代管虛擬網路),以私密端點連到外部資源,這可提供租戶隔離之效。

研究人員發現介接IR的第三方ODBC(Open Database Connectivity)驅動程式的一項漏洞,影響Azure Synapse及Azure Data Factory。

該漏洞編號,Orca研究人員稱之為SynLapse。攻擊者可藉此攻擊Azure Synapse租戶,以控制Azure Synapse的工作空間(workspace)、在Azure Synapse服務內的目標機器上執行程式碼、以及將客戶驗證憑證傳到外部目的地,及取得其他用戶帳號的驗證憑證(Azure keys、API token、密碼等)。

圖片來源/Orca

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

,但是研究人員對微軟修補漏洞不確實及速度感到不滿。

Orca研究人員Tzah Pahima指出,他在今年1月4日通報微軟安全回應中心,並提供了他們取得的憑證和金鑰。之後微軟分別在3月底及4月初釋出修補,兩次都被繞過,最後在4月15日的第3次終於修補完成。距通報後已經100多天,而且微軟到第96天才撤銷失竊的憑證。微軟5月底又提高租戶安全隔離,包括短期執行個體(ephemeral instances)及限定範圍的共享Azure Integration Runtimes token 。

,該公司3月發現Synapse 2項漏洞,其中之一即CVE-2022-29972。執行長Amit Yoran則指出,微軟一開始打算悄悄修補,直到研究人員威脅要公布,微軟才決定公開,距離最初通報已89天。

Yoran指出,雖然微軟承認漏洞的重要性,迄今(截至6月13日)卻仍未通知用戶。他說,基礎架構或雲端服務業者欠缺透明度,將使用戶風險大為提升,因為用戶不知自己是否曝險,或已經被攻擊,若不通知客戶,將使其喪失蒐集證據的機會,是不責任的政策。他認為必須讓雲端供應商遵守透明度標準,而對雲端廠商實施獨立IT基礎架構的稽核及評估也有其必要性。

來源鏈接:https://www.ithome.com.tw/news/151453

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

您可能也會喜歡…