Schwachstellen
Microsoft Azure Synapse Pwnalytics – Tenable kritisiert zähe Behebung
Zähe Behebung zweier schwerwiegender Sicherheitsschwachstellen in Microsofts Cloud-Umgebung
Seit dem 10. März hat Tenable Research versucht, mit Microsoft zusammenzuarbeiten, um zwei schwerwiegende Schwachstellen in der Infrastruktur von Azure Synapse Analytics zu beheben
Synapse Analytics ist eine Plattform, die für maschinelles Lernen, Datenaggregation und andere Rechenanwendungen verwendet wird. Der Dienst ist derzeit in Microsofts Azure Bug Bounty-Programm unter den „High-Impact“-Szenarien aufgeführt. Microsoft erklärt, dass Produkte und Szenarien, die unter dieser Überschrift aufgeführt sind, „die höchsten potenziellen Auswirkungen auf die Sicherheit der Kunden haben“.
Tenable Research hat zwei schwerwiegende Schwachstellen in der Infrastruktur entdeckt, auf der dieser Dienst läuft. Diese Schwachstellen ermöglichen es einem Benutzer, die Rechte des Root-Benutzers innerhalb der zugrundeliegenden virtuellen Apache Spark-Maschinen zu erweitern oder die Hosts-Datei aller Knoten in einem Apache Spark-Pool zu „vergiften“. Die Schlüssel, Geheimnisse und Dienste, auf die über diese Schwachstellen zugegriffen werden kann, ermöglichen bekanntermaßen weitere seitliche Bewegungen und die Kompromittierung von Microsoft-eigenen Infrastrukturen. Dies kann potenziell zur Kompromittierung von Daten anderer Kunden führen, wie in jüngster Zeit in mehreren anderen Fällen zu beobachten war, beispielsweise ChaosDB von Wiz und SynLapse von Orca. Microsoft hat jedoch behauptet, dass ein mandantenübergreifender Zugriff über diese Angriffsvektoren nicht möglich ist.
Tenable meldete diese Probleme am 10. März 2022 an Microsoft. Microsoft hat bereits am 30. April 2022 damit begonnen, einen Fix für das Problem der Privilegien-Erweiterung bereitzustellen. Tenable geht derzeit davon aus, dass das Problem in allen Regionen erfolgreich behoben wurde. Die Endanwender müssen nichts unternehmen, um sicherzustellen, dass ihre Umgebungen nicht mehr betroffen sind. Der Hosts-File-Poisoning-Angriff ist zum Zeitpunkt der Erstellung dieses Artikels noch nicht gepatcht. Aufgrund der Art dieser Schwachstellen und des Offenlegungsprozesses hat Tenable hierfür noch keine CVE-Referenznummern.
Während des Offenlegungsprozesses schienen Vertreter von Microsoft zunächst zuzustimmen, dass es sich um kritische Probleme handelt. Microsoft entwickelte und implementierte einen Patch für die Privilegieneskalation ohne weitere Informationen von Tenable Research. In den letzten Tagen des Offenlegungsprozesses versuchte das Microsoft Security Response Center (MSRC), den Schweregrad des Problems der Privilegienerweiterung herunterzuspielen und stufte es als „Best Practice Recommendation“ und nicht als Sicherheitsproblem ein. Trotz eindeutiger gegenteiliger Beweise lehnte das MSRC ein Kopfgeld oder eine Anerkennung für diese Entdeckung ab. Nachdem Microsoft von Tenable informiert wurde, Informationen über die Schwachstellen zu veröffentlichen, revidierten Vertreter von Microsoft die vorherige Entscheidung und stuften diese Probleme als sicherheitsrelevant ein. Dies zeigt einen klaren Mangel an Kommunikation zwischen den beteiligten Teams bei Microsoft.
Diese Schwachstellen und die Interaktion der Tenable-Forscher mit Microsoft zeigen, wie schwierig es ist, sicherheitsrelevante Probleme in Cloud-Umgebungen anzugehen. Der gesamte Prozess entzieht sich weitgehend der Kontrolle des Kunden. Die Kunden sind bei der Behebung der gemeldeten Probleme vollständig auf die Cloud-Anbieter angewiesen. Die gute Nachricht ist jedoch, dass ein Problem, sobald es behoben ist, auch behoben ist. Die Kunden müssen in der Regel nichts unternehmen, da alles hinter den Kulissen abläuft. Die schlechte Nachricht ist jedoch, dass die Cloud-Anbieter nur selten darauf hinweisen, dass eine sicherheitsrelevante Schwachstelle überhaupt vorhanden war.
Ausführlichere Informationen über die Interaktionen mit Microsoft und die technischen Details dieser Schwachstellen finden Sie in diesem Beitrag auf dem Tenable TechBlog.