Microsoft ha incorporado mejoras adicionales para abordar la vulnerabilidad de seguridad SynLapse recientemente revelada a fin de cumplir con aislamiento de inquilinos requisitos en Azure Data Factory y Azure Synapse Pipelines.
Las medidas de seguridad más recientes incluyen mover los tiempos de ejecución de integración compartidos a instancias efímeras en espacio aislado y usar tokens de alcance para evitar que los adversarios usen un certificado de cliente para acceder a la información de otros inquilinos.
“Esto significa que si un atacante pudiera ejecutar código en el tiempo de ejecución de integraciónnunca se comparte entre dos inquilinos diferentes, por lo que no hay datos confidenciales en peligro”, dijo Orca Security en un reporte técnico detallando la falla.
El problema de alta gravedad, rastreado como CVE-2022-29972 (puntaje CVSS: 7.8) y divulgado a principios del mes pasado, podría haber permitido a un atacante realizar la ejecución remota de comandos y obtener acceso al entorno de nube de otro cliente de Azure.
Originalmente informado por la compañía de seguridad en la nube el 4 de enero de 2022, SynLapse no se parchó por completo hasta el 15 de abril, un poco más de 120 días después de la divulgación inicial y se descubrió que dos correcciones anteriores implementadas por Microsoft se omitieron fácilmente.
“SynLapse permitió a los atacantes acceder a los recursos de Synapse que pertenecen a otros clientes a través de un servidor API interno de Azure que administra los tiempos de ejecución de integración”, dijeron los investigadores.
Además de permitir que un atacante obtenga credenciales para otras cuentas de clientes de Azure Synapse, la falla hizo posible eludir la separación de inquilinos y ejecutar código en las máquinas de clientes objetivo, así como controlar Espacios de trabajo de Synapse y filtrar datos confidenciales a otras fuentes externas.
En esencia, la cuestión se relaciona con un caso de inyección de comando encontrado en el Conector Simba Amazon Redshift ODBC de magnitud se usa en Azure Synapse Pipelines que podría explotarse para lograr la ejecución de código en el tiempo de ejecución de integración de un usuario o en el tiempo de ejecución de integración compartido.
Con estas capacidades en la mano, un atacante podría haber procedido a volcar la memoria del proceso que maneja las conexiones externas, filtrando así las credenciales a las bases de datos, servidores y otros servicios de Azure.
Aún más preocupante, un certificado de cliente contenido en el tiempo de ejecución de integración compartido y utilizado para la autenticación en un servidor de administración interno podría convertirse en un arma para acceder a información perteneciente a otras cuentas de clientes.
Al vincular el error de ejecución de código remoto y el acceso al certificado del servidor de control, el problema abrió efectivamente la puerta a la ejecución de código en cualquier tiempo de ejecución de integración sin saber nada más que el nombre de un espacio de trabajo de Synapse.
“Vale la pena señalar que la principal falla de seguridad no fue tanto la capacidad de ejecutar código en un entorno compartido, sino las implicaciones de dicha ejecución de código”, señalaron los investigadores.
“Más específicamente, el hecho de que, dado un RCE en el tiempo de ejecución de integración compartido, nos permitiera usar un certificado de cliente que brinda acceso a un potente servidor API interno. Esto permitió a un atacante comprometer el servicio y acceder a los recursos de otros clientes”.