Microsoft revel\u00f3 el lunes que mitig\u00f3 una falla de seguridad que afectaba a Azure Synapse y Azure Data Factory que, si se explota con \u00e9xito, podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n
La vulnerabilidad, rastreada como CVE-2022-29972<\/a>tiene el nombre en clave “SinLapso<\/b><\/a>por investigadores de Orca Security, quienes informaron la falla a Microsoft en enero de 2022.<\/p>\n “La vulnerabilidad era espec\u00edfica de Open Database Connectivity de terceros (ODBC<\/a>) controlador utilizado para conectarse a Amazon Redshift en canalizaciones de Azure Synapse y Azure Data Factory Integration Runtime (infrarrojos<\/a>) y no afect\u00f3 a Azure Synapse como un todo”, la compa\u00f1\u00eda dicho<\/a>.<\/p>\n “La vulnerabilidad podr\u00eda haber permitido que un atacante realizara la ejecuci\u00f3n de comandos remotos a trav\u00e9s de la infraestructura IR sin limitarse a un solo inquilino”.<\/p>\n En otras palabras, un actor malintencionado puede armar el error para adquirir el certificado del servicio Azure Data Factory y acceder a Integration Runtimes de otro arrendatario para obtener acceso a informaci\u00f3n confidencial, rompiendo efectivamente las protecciones de separaci\u00f3n de arrendatarios.<\/p>\n El gigante tecnol\u00f3gico, que resolvi\u00f3 la falla de seguridad el 15 de abril, dijo que no encontr\u00f3 evidencia de uso indebido o actividad maliciosa asociada con la vulnerabilidad en la naturaleza.<\/p>\n