WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Microsoft phát hành bản vá cho lỗ hổng Azure cho phép tấn công RCE
Microsoft vừa phát hành các bản cập nhật an ninh, xử lý một lỗ hổng ảnh hưởng đến đường ống dẫn Azure Synapse và Azure Data Factory. Lỗ hổng có thể cho phép những kẻ tấn công thực hiện các lệnh từ xa trên cơ sở hạ tầng Integration Runtime.
Cơ sở hạ tầng tính toán Integration Runtime (IR) được sử dụng bởi các đường ống của Azure Synapse và Azure Data Factory để cung cấp khả năng tích hợp dữ liệu trên các môi trường mạng.
Lỗ hổng CVE-2022-29972, được Orca Security Tzah Pahima đặt tên là SynLaps, đã được giảm nhẹ nguy cơ ảnh hưởng từ 15/4 và không có bằng chứng đã bị khai thác trước khi được phát hành bản vá.
Theo phát hiện của Pahima, những kẻ tấn công có thể khai thác lỗi này để truy cập và kiểm soát không gian làm việc Synapse của khách hàng, gây rò rỉ dữ liệu nhạy cảm bao gồm khóa dịch vụ của Azure, mã thông báo API và mật khẩu cho các dịch vụ khác.
"Lỗ hổng được tìm thấy trong trình kết nối dữ liệu ODBC của bên thứ ba được sử dụng để kết nối với Amazon Redshift, trong Integration Runtime (IR) của Azure Synapse Pipelines và Azure Data Factory", Microsoft giải thích.
"Lỗ hổng có thể đã cho phép kẻ tấn công thực hiện lệnh từ xa trên cơ sở hạ tầng IR", công ty cho biết thêm.
Việc khai thác thành công trình kết nối ODBC cho lỗi Amazon Redshift có thể cho phép những kẻ tấn công đang chạy các công việc trong ống Synapse thực hiện các lệnh từ xa. Tiếp đó, chúng có thể đánh cắp chứng chỉ dịch vụ Azure Data Factory để thực thi các lệnh trong Chế độ Tích hợp Azure Data Factory của người thuê khác.
Giảm thiểu rủi ro
Microsoft cho biết những khách hàng sử dụng đám mây Azure (Azure Integration Runtime) hoặc lưu trữ tại chỗ (Self-Hosted Integration Runtime) nếu đã bật cập nhật tự động thì không cần phải thực hiện thêm bất kỳ hành động nào để giảm thiểu nguy cơ của lỗ hổng này.
Đối với các khách hàng IR tự lưu trữ không bật tự động cập nhật, Microsoft khuyên họ nên cập nhật IR tự lưu trữ của mình lên phiên bản mới nhất (5.17.8154.2) có sẵn.
Các bản cập nhật này có thể được cài đặt trên hệ thống 64 bit với .NET Framework 4.7.2 trở lên đang chạy các nền tảng máy khách và máy chủ, bao gồm cả các bản phát hành mới nhất (Windows 11 và Windows Server 2022).
Để an toàn hơn, Microsoft khuyến cáo khách hàng nên định cấu hình không gian làm việc Synapse bằng Mạng ảo được quản lý để cung cấp khả năng tính toán và cách ly mạng tốt hơn.
Khách hàng sử dụng Azure Data Factory có thể bật thời gian chạy tích hợp Azure với Mạng ảo được quản lý.
Lỗ hổng CVE-2022-29972, được Orca Security Tzah Pahima đặt tên là SynLaps, đã được giảm nhẹ nguy cơ ảnh hưởng từ 15/4 và không có bằng chứng đã bị khai thác trước khi được phát hành bản vá.
Theo phát hiện của Pahima, những kẻ tấn công có thể khai thác lỗi này để truy cập và kiểm soát không gian làm việc Synapse của khách hàng, gây rò rỉ dữ liệu nhạy cảm bao gồm khóa dịch vụ của Azure, mã thông báo API và mật khẩu cho các dịch vụ khác.
"Lỗ hổng được tìm thấy trong trình kết nối dữ liệu ODBC của bên thứ ba được sử dụng để kết nối với Amazon Redshift, trong Integration Runtime (IR) của Azure Synapse Pipelines và Azure Data Factory", Microsoft giải thích.
"Lỗ hổng có thể đã cho phép kẻ tấn công thực hiện lệnh từ xa trên cơ sở hạ tầng IR", công ty cho biết thêm.
Việc khai thác thành công trình kết nối ODBC cho lỗi Amazon Redshift có thể cho phép những kẻ tấn công đang chạy các công việc trong ống Synapse thực hiện các lệnh từ xa. Tiếp đó, chúng có thể đánh cắp chứng chỉ dịch vụ Azure Data Factory để thực thi các lệnh trong Chế độ Tích hợp Azure Data Factory của người thuê khác.
Giảm thiểu rủi ro
Microsoft cho biết những khách hàng sử dụng đám mây Azure (Azure Integration Runtime) hoặc lưu trữ tại chỗ (Self-Hosted Integration Runtime) nếu đã bật cập nhật tự động thì không cần phải thực hiện thêm bất kỳ hành động nào để giảm thiểu nguy cơ của lỗ hổng này.
Đối với các khách hàng IR tự lưu trữ không bật tự động cập nhật, Microsoft khuyên họ nên cập nhật IR tự lưu trữ của mình lên phiên bản mới nhất (5.17.8154.2) có sẵn.
Các bản cập nhật này có thể được cài đặt trên hệ thống 64 bit với .NET Framework 4.7.2 trở lên đang chạy các nền tảng máy khách và máy chủ, bao gồm cả các bản phát hành mới nhất (Windows 11 và Windows Server 2022).
Để an toàn hơn, Microsoft khuyến cáo khách hàng nên định cấu hình không gian làm việc Synapse bằng Mạng ảo được quản lý để cung cấp khả năng tính toán và cách ly mạng tốt hơn.
Khách hàng sử dụng Azure Data Factory có thể bật thời gian chạy tích hợp Azure với Mạng ảo được quản lý.
Theo Bleeping Computer