安全专家指责微软在修复关键漏洞上耗时久

发布时间：2022-06-21 15:04 所属栏目：53 来源：互联网

导读：多名安全专家近期指责微软，称其在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度。在本周二发布的博文中就阐述了微软在这方面的失败，内容称微软在修复 Azure 中的一个关键漏洞用了 5 个月的时间，而且先后发布了 3 个补

　　多名安全专家近期指责微软，称其在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度。在本周二发布的博文中就阐述了微软在这方面的失败，内容称微软在修复 Azure 中的一个关键漏洞用了 5 个月的时间，而且先后发布了 3 个补丁。

　　在充当 Synapse 工作区的同时在其他客户帐户中获得授权。根据配置，我们可以访问客户帐户中的更多资源。
　　泄露存储在 Synapse 工作区中的客户凭据。
　　与其他客户的集成运行时进行通信。可以利用它在任何客户的集成运行时上运行远程代码 (RCE)。
　　控制管理所有共享集成运行时的 Azure 批处理池。可以在每个实例上运行代码。
　　Pahima 说，尽管该漏洞很紧迫，但微软的响应者却迟迟没有意识到它的严重性。微软在前两个补丁中搞砸了，直到周二，微软才发布了完全修复该漏洞的更新。 Pahima 提供的时间表显示了他的公司花费了多少时间和工作来引导微软完成整治过程：

　　4 月 10 日 - MSRC 修补绕过，最终撤销 Synapse 管理服务器证书。 Orca 能够再次绕过补丁。突触仍然脆弱。
　　4 月 15 日 - MSRC 部署第三个补丁，修复 RCE 和报告的攻击向量。
　　5 月 9 日 – Orca Security 和 MSRC 都发布了博客，概述了漏洞、缓解措施和针对客户的建议。
　　5 月底 – Microsoft 部署了更全面的租户隔离，包括用于共享 Azure 集成运行时的临时实例和范围令牌。
　　他表示：“任何使用 Azure Synapse 服务的人都可以利用这两个漏洞。在评估情况后，微软决定默默修补其中一个问题，淡化风险。只是在被告知我们将要上市之后，他们的故事才发生了变化……在最初的漏洞通知后 89 天……他们私下承认了安全问题的严重性。迄今为止，尚未通知 Microsoft 客户”。

（编辑：ASP站长网）