Microsoft lanza correcciones para la falla de Azure que permite ataques RCE

Microsoft ha publicado actualizaciones de seguridad para abordar una falla de seguridad que afecta a las canalizaciones de Azure Synapse y Azure Data Factory y que podría permitir a los atacantes ejecutar comandos remotos en la infraestructura de Integration Runtime.

La  infraestructura informática de Integration Runtime (IR)  es utilizada por las canalizaciones de Azure Synapse y Azure Data Factory para proporcionar funcionalidades de integración de datos en entornos de red (por ejemplo, flujo de datos, distribución de actividades, ejecución de paquetes de SQL Server Integration Services (SSIS)).

La vulnerabilidad (rastreada como CVE-2022-29972 y denominada SynLapse  por Orca Security Tzah Pahima) se mitigó el 15 de abril, sin evidencia de explotación antes de que se publicaran las correcciones.

Según los hallazgos de Pahima, los atacantes pueden explotar este error para acceder y controlar los espacios de trabajo de Synapse de otros clientes, lo que les permite filtrar datos confidenciales, incluidas las claves de servicio de Azure, tokens de API y contraseñas de otros servicios.


"La vulnerabilidad se encontró en el conector de datos ODBC de terceros utilizado para conectarse a Amazon Redshift, en Integration Runtime (IR) en Azure Synapse Pipelines y Azure Data Factory",  explicó Microsoft  en un aviso de seguridad publicado hoy.

"La vulnerabilidad podría haber permitido que un atacante realizara la ejecución de comandos remotos en la infraestructura IR sin limitarse a un solo inquilino", agregó la compañía en una publicación de blog del Centro de respuesta de seguridad de Microsoft (MSRC).

La explotación exitosa de este conector ODBC para la falla de Amazon Redshift podría permitir que los atacantes maliciosos ejecuten trabajos en una canalización de Synapse y ejecuten comandos remotos.

En la siguiente etapa del ataque, podrían robar el certificado de servicio de Azure Data Factory para ejecutar comandos en Azure Data Factory Integration Runtimes de otro inquilino.

"Según nuestra comprensión de la arquitectura del servicio y nuestras repetidas omisiones de correcciones, creemos que la arquitectura contiene debilidades subyacentes que deben abordarse con un mecanismo de separación de inquilinos más sólido",  dijo Avi Shua de Orca Security .

"Hasta que se implemente una mejor solución, recomendamos que todos los clientes evalúen su uso del servicio y se abstengan de almacenar datos confidenciales o claves en él".

como mitigar

Microsoft dice que los clientes que usan la nube de Azure (Azure Integration Runtime) o que alojan su propio entorno local (Self-Hosted Integration Runtime) con las actualizaciones automáticas activadas no necesitan tomar ninguna medida adicional para mitigar esta falla.

Los clientes de IR con autohospedaje que no tienen activada la actualización automática ya recibieron una notificación para proteger sus implementaciones a través de Azure Service Health Alerts (ID: MLC3-LD0).

La empresa les aconseja que actualicen sus IR autohospedados a la última versión (5.17.8154.2) disponible  en el Centro de descargas de Microsoft .

Estas actualizaciones se pueden instalar en sistemas de 64 bits con .NET Framework 4.7.2 o superior que ejecute plataformas de servidor y cliente, incluidas las versiones más recientes (Windows 11 y Windows Server 2022).

"Para una protección adicional, Microsoft recomienda configurar los espacios de trabajo de Synapse con una red virtual administrada que proporciona un mejor aislamiento informático y de red",  agregó Redmond .

"Los clientes que usan Azure Data Factory pueden habilitar los tiempos de ejecución de integración de Azure con una red virtual administrada".

Puede encontrar más información sobre cómo mitigar completamente CVE-2022-299 en la sección " Recomendaciones del cliente y soporte adicional " de la publicación de blog de MSRC.

"Desafortunadamente, nuestra investigación nos lleva a creer que la debilidad arquitectónica subyacente todavía está presente. Hay áreas en el servicio donde una gran cantidad de código de Microsoft y de terceros se ejecuta con permisos de SISTEMA, procesando la entrada controlada por el cliente", agregó Shua.

"Esto se ejecuta en máquinas compartidas con acceso a claves de servicio de Azure y datos confidenciales de otros clientes. Estas áreas del servicio solo tienen separación a nivel de aplicación y carecen de aislamiento a nivel de sandbox o hipervisor. Esta es una superficie de ataque importante y no es consistente con el nivel de seguridad que esperan los clientes de la nube pública".

Cronología de la divulgación:

4 de enero: Orca informó el problema a Microsoft
2 de marzo: Microsoft completó la implementación de la revisión inicial
11 de marzo: Microsoft identifica y notifica al cliente afectado por la actividad del investigador
30 de marzo: Orca notificó a Microsoft sobre una ruta de ataque adicional a la misma vulnerabilidad
13 de abril: Orca notificó a Microsoft sobre una segunda ruta de ataque a la misma vulnerabilidad
15 de abril: se implementaron correcciones adicionales para las dos rutas de ataque recientemente informadas, así como también se aplicaron medidas adicionales de defensa en profundidad.
En marzo, Microsoft dijo que solucionó otra vulnerabilidad de seguridad de Azure en diciembre (también informada por Orca Security) que permitía a los atacantes tomar el control total de los datos de otros clientes de Azure al abusar de un  error del servicio de Azure Automation denominado AutoWarp .

El mes pasado, la compañía abordó una cadena de errores críticos informados por la empresa de seguridad en la nube Wiz en Azure Database for PostgreSQL Flexible Server ( conocido como ExtraReplica ) que permite a los usuarios malintencionados obtener acceso a las bases de datos de otros clientes después de omitir la autenticación.

Otras fallas de Microsoft Azure corregidas por Redmond durante el último año también incluyen las que los investigadores de Wiz encontraron en  Azure Cosmos DB , el  agente de software Open Management Infrastructure (OMI) y  Azure App Service

Actualización: atribución ExtraReplica aclarada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta