Microsoft đã kết hợp các cải tiến bổ sung để giải quyết lỗ hổng bảo mật SynLapse được tiết lộ gần đây nhằm đáp ứng các yêu cầu cách ly đối tượng thuê toàn diện trong Azure Data Factory và Azure Synapse Pipelines.
Các biện pháp bảo vệ mới nhất bao gồm di chuyển thời gian chạy tích hợp dùng chung sang các phiên bản tạm thời được đóng hộp cát và sử dụng mã thông báo có phạm vi để ngăn chặn đối thủ sử dụng chứng chỉ ứng dụng khách để truy cập thông tin của những người thuê khác.
“Điều này có nghĩa là nếu kẻ tấn công có thể thực thi mã trong thời gian chạy tích hợp, mã đó sẽ không bao giờ được chia sẻ giữa hai bên thuê khác nhau, vì vậy không có dữ liệu nhạy cảm nào gặp nguy hiểm”, Orca Security cho biết trong một báo cáo kỹ thuật chi tiết về lỗ hổng.
Trong một tuyên bố được chia sẻ với The Hacker News về các biện pháp bảo vệ được triển khai, Microsoft cho biết họ đã giảm thiểu hoàn toàn các đường tấn công khác nhau dẫn đến lỗ hổng trên tất cả các loại thời gian chạy tích hợp.
Gã khổng lồ công nghệ tuyên bố rằng nó “chứa và giám sát chặt chẽ chứng chỉ phụ trợ cho hoạt động của đối thủ và các chốt, trước khi xoay vòng và thu hồi” và rằng nó “đã bổ sung khả năng bảo vệ bổ sung theo chiều sâu cho API phụ trợ bằng cách chuyển sang sử dụng mã thông báo giới hạn thời gian bị cô lập thay vì giấy chứng nhận.”
Sự cố có mức độ nghiêm trọng cao, được theo dõi là CVE-2022-29972 (điểm CVSS: 7,8) và được tiết lộ vào đầu tháng trước, có thể cho phép kẻ tấn công thực hiện lệnh từ xa và giành quyền truy cập vào môi trường đám mây của máy khách Azure khác.
Theo báo cáo ban đầu của công ty bảo mật đám mây vào ngày 4 tháng 1 năm 2022, SynLapse không được vá đầy đủ cho đến ngày 15 tháng 4, hơn 120 ngày sau khi tiết lộ ban đầu và hai bản sửa lỗi trước đó do Microsoft triển khai được phát hiện là dễ dàng vượt qua.
Các nhà nghiên cứu cho biết: “Những kẻ tấn công đã kích hoạt SynLapse truy cập vào các tài nguyên Synapse thuộc về các khách hàng khác thông qua máy chủ API Azure nội bộ quản lý thời gian chạy tích hợp”.
Bên cạnh việc cho phép kẻ tấn công có được thông tin xác thực đối với các tài khoản khách hàng Azure Synapse khác, lỗ hổng này còn có thể tránh được việc tách đối tượng thuê và thực thi mã trên các máy của khách hàng được nhắm mục tiêu cũng như kiểm soát không gian làm việc của Synapse và rò rỉ dữ liệu nhạy cảm sang các nguồn bên ngoài khác.
Về cốt lõi, vấn đề liên quan đến một trường hợp chèn lệnh được tìm thấy trong trình kết nối ODBC Amazon Redshift của Magnitude Simba được sử dụng trong Azure Synapse Pipelines có thể bị khai thác để thực thi mã trong thời gian chạy tích hợp của người dùng hoặc trên thời gian chạy tích hợp được chia sẻ.
Với những khả năng này trong tay, kẻ tấn công có thể đã tiến hành kết xuất bộ nhớ của quy trình xử lý các kết nối bên ngoài, do đó làm rò rỉ thông tin đăng nhập vào cơ sở dữ liệu, máy chủ và các dịch vụ Azure khác.
Đáng lo ngại hơn nữa, chứng chỉ ứng dụng khách có trong thời gian chạy tích hợp dùng chung và được sử dụng để xác thực với máy chủ quản lý nội bộ có thể đã được vũ khí hóa để truy cập thông tin liên quan đến các tài khoản khách hàng khác.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Khi xâu chuỗi lỗi thực thi mã từ xa và quyền truy cập vào chứng chỉ máy chủ điều khiển, sự cố đã mở ra cơ hội thực thi mã trên bất kỳ thời gian chạy tích hợp nào mà không cần biết gì ngoài tên của không gian làm việc Synapse.
Nhà nghiên cứu bảo mật Tzah Pahima lưu ý: “Điều đáng chú ý là lỗ hổng bảo mật lớn không nằm ở khả năng thực thi mã trong môi trường dùng chung mà là tác động của việc thực thi mã như vậy”.
“Cụ thể hơn, việc thực thi mã trên thời gian chạy tích hợp dùng chung đã làm lộ chứng chỉ ứng dụng khách tới máy chủ API nội bộ, mạnh mẽ. Điều này cho phép kẻ tấn công xâm phạm dịch vụ và truy cập tài nguyên của các khách hàng khác.”
Cập nhật: Tiết lộ về việc chậm trễ vá lỗ hổng SynLapse nghiêm trọng được đưa ra khi công ty an ninh mạng Tenable chỉ trích Microsoft vì sự thiếu minh bạch và âm thầm khắc phục một trong hai vấn đề nghiêm trọng mà hãng đã báo cáo trong dịch vụ Azure Synapse vào ngày 10 tháng 3 năm 2022.
Công ty cho biết: “Những lỗ hổng này cho phép người dùng nâng cấp đặc quyền lên đặc quyền của người dùng root trong các máy ảo Apache Spark bên dưới hoặc đầu độc tệp máy chủ của tất cả các nút trong nhóm Apache Spark”.
“Các khóa, bí mật và dịch vụ có thể truy cập được thông qua các lỗ hổng này theo truyền thống cho phép di chuyển nhiều hơn và thỏa hiệp cơ sở hạ tầng do Microsoft sở hữu, điều này có khả năng dẫn đến sự xâm phạm dữ liệu của các khách hàng khác.”
Kể từ đó, lỗ hổng leo thang đặc quyền đã được xử lý sớm nhất vào ngày 30 tháng 4 năm 2022. Tuy nhiên, cuộc tấn công đầu độc tệp máy chủ vẫn chưa được vá.
Giám đốc điều hành của Tenable, Amit Yoran cho biết: “Nếu không có thông tin chi tiết và kịp thời, khách hàng sẽ không biết liệu họ có dễ bị tấn công hay không… hoặc liệu họ có trở thành nạn nhân của cuộc tấn công trước khi lỗ hổng được vá hay không”.
“Và việc không thông báo cho khách hàng khiến họ không có cơ hội tìm kiếm bằng chứng rằng họ đã hoặc chưa bị xâm phạm, một chính sách hết sức vô trách nhiệm.”
Người phát ngôn của Microsoft nói với The Hacker News: “Chúng tôi đã giải quyết các vấn đề mà Tenable đã báo cáo cho chúng tôi và khách hàng không cần phải thực hiện hành động nào”. “Chính sách của Microsoft đối với CVE, phù hợp với hướng dẫn phát hành CVE, là chỉ định số CVE nếu và khi hành động của khách hàng là cần thiết.”
