Vulnerabilidad mitigada en el conector de datos de terceros utilizado en canalizaciones de Azure Synapse y Azure Data Factory (CVE-2022-29972)

Resumen

Microsoft mitigó recientemente una vulnerabilidad en las canalizaciones de Azure Information Manufacturing unit y Azure Synapse. La vulnerabilidad period específica del controlador de Conectividad abierta de base de datos (ODBC) de terceros que se united states para conectarse a Amazon Redshift en las canalizaciones de Azure Synapse y Azure Data Manufacturing facility Integration Runtime (IR) y no afectó a Azure Synapse en su totalidad. La vulnerabilidad podría haber permitido que un atacante realizara la ejecución remota de comandos a través de la infraestructura IR sin limitarse a un solo inquilino.

Microsoft ha llevado a cabo una investigación interna detallada para identificar cualquier caso de abuso. La única actividad identificada fue realizada por Orca Stability, quien informó la vulnerabilidad. Nuestra investigación no encontró evidencia de uso indebido o actividad maliciosa. La vulnerabilidad fue mitigada el 15 de abril de 2022.

No se necesita ninguna acción de Azure Details Manufacturing unit o de la canalización de Azure Synapse clientes que están hospedados en la nube de Azure (Azure Integration Runtime) o que hospedan localmente (Self-Hosted Integration Runtime) con las actualizaciones automáticas activadas.Los clientes de IR autohospedados sin actualización automática deben tomar medidas para proteger sus implementaciones. Se notificó a los clientes con esta configuración y se les brindó orientación a través de Estado del servicio de Azure Alertas (ID de seguimiento: MLC3-LD0) sin embargo, se puede encontrar información adicional a continuación en la sección «Recomendaciones del cliente y soporte adicional». Los clientes con las actualizaciones automáticas habilitadas no necesitan realizar ninguna acción adicional.

Las siguientes secciones explican con más detalle los antecedentes arquitectónicos relevantes de los servicios y componentes involucrados, algunos detalles técnicos de alto nivel de la vulnerabilidad y los pasos que Microsoft ha tomado para mitigar el problema y los próximos pasos o recomendaciones para los clientes.

Fondo

Azure Information Factory es un servicio de Microsoft Cloud Extract Completely transform Load (ETL) que permite la integración y transformación de datos. Azure Details Factory está disponible como un servicio independiente y también se proporciona como canalizaciones de Azure Synapse.

Los clientes que usan las canalizaciones de Azure Knowledge Factory o Azure Synapse pueden crear un Tiempo de ejecución de integración (IR) en sus fábricas y/o espacios de trabajo para permitir la integración de datos en diferentes entornos de purple. Canalizaciones de Azure Synapse se puede usar para integrar datos de varias fuentes en espacios de trabajo de Synapse Analytics. Estos oleoductos también soportan conectores, que permiten integrar datos en diferentes almacenes de datos, incluidos productos de terceros. Las canalizaciones de Azure Data Manufacturing facility y Azure Synapse tienen integrados muchos conectores de datos a diferentes fuentes de datos en la actualidad.

Los IR que usan canalizaciones de Azure Synapse se pueden hospedar en la nube de Azure (a través de Azure Data Manufacturing unit Integration Runtime) o en las instalaciones (Self-Hosted Integration Runtime). Los Azure IR alojados en la nube también se pueden configurar con una pink virtual administrada (VNet) y usarán puntos de conexión privados para conectarse a almacenes de datos compatibles, lo que puede proporcionar una capa adicional de aislamiento de purple.

Como descripción general arquitectónica de alto nivel de los modelos de hospedaje:

  1. Azure IR (con una purple virtual administrada): Azure IR hospedado en la nube con una crimson virtual administrada proporciona un contenedor dedicado y un grupo dinámico detrás de una red virtual, no se comparte entre varios clientes.
  2. Azure IR (sin una pink digital administrada): Azure IR alojado en la nube ejecuta actividades de canalización en un grupo compartido de recursos informáticos subyacentes. Esto permite que varios clientes utilicen los recursos de este grupo y escalen dinámicamente los nodos en tiempo de ejecución.
  3. IR autohospedado (SHIR): Como SHIR requiere una máquina digital regional o proporcionada por el cliente para ejecutar tareas, los SHIR están diseñados para un solo cliente. SHIR puede extraer tareas de la nube u otras fuentes de datos locales.

La vulnerabilidad period específica del tercero. Conector ODBC se utiliza para conectarse a Amazon Redshift en canalizaciones de Azure Synapse y Azure Knowledge Manufacturing unit Integration Runtime (IR).

Impacto de vulnerabilidad

La vulnerabilidad en el conector ODBC de terceros para Amazon Redshift permitía que un usuario ejecutara trabajos en una canalización de Synapse para ejecutar comandos remotos. Un usuario que aprovechara esta vulnerabilidad podría adquirir potencialmente el certificado de servicio de Azure Data Factory y ejecutar comandos en Azure Data Manufacturing facility Integration Runtimes de otro inquilino. Estos certificados son específicos de Azure Information Manufacturing unit y Synapse Pipelines y no pertenecen al resto de Azure Synapse.

Investigación y Mitigación

Orca Security informó una vulnerabilidad a Microsoft el 4 de enero de 2022, momento en el que comenzamos nuestra investigación interna para identificar el alcance del impacto y proteger a los clientes. Nuestro cronograma para la investigación y la mitigación se puede resumir de la siguiente manera:

  • 4 de enero: Orca informó el problema a Microsoft
  • 2 de marzo: Microsoft completó la implementación de la revisión inicial
  • 11 de marzo: Microsoft identificó y notificó a los clientes afectados por la actividad del investigador
  • 30 de marzo: Orca notificó a Microsoft sobre una ruta de ataque adicional a la misma vulnerabilidad
  • 13 de abril: Orca notificó a Microsoft sobre una segunda ruta de ataque a la misma vulnerabilidad
  • 15 de abril: se implementaron correcciones adicionales para las dos rutas de ataque recientemente informadas, así como también se aplicaron medidas adicionales de defensa en profundidad.

Microsoft mitigó por completo las rutas de ataque a esta vulnerabilidad el 15 de abril de 2022, siguiendo los siguientes pasos en todos los tipos de IR:

  • Ejecución de comandos remotos mitigados en el controlador afectado
  • Reducción del privilegio de ejecución de trabajos en Azure Integration Runtime
  • Se agregaron capas de validación adicionales como defensa en profundidad para fortalecer el servicio
  • Rotó y revocó el certificado de servicio de again-conclusion y otras credenciales de Microsoft a las que accedió el buscador
  • Colaboró ​​con el proveedor de controladores ODBC de terceros y Amazon en las soluciones de causa raíz del controlador utilizado para conectarse a Amazon Redshift.
  • Revisó el código de proveedor de controladores de terceros y ejecutó nuestras herramientas de seguridad para garantizar que cumpla con nuestros estándares de seguridad

Detecciones

Si bien nuestra investigación no encontró evidencia de uso indebido de productos o servicios de Microsoft o actividad maliciosa de esta vulnerabilidad aparte de la actividad informada por Orca, compartimos las siguientes detecciones de Microsoft Defender para Endpoint y Microsoft Defender Antivirus para proteger a los clientes.

  • Los clientes que utilizan actualizaciones automáticas no necesitan realizar ninguna acción adicional. Los clientes empresariales que administran actualizaciones deben seleccionar la compilación de detección 1.363.1065. o posterior e implementarla en sus entornos.
  • Microsoft Defender Antivirus versión 1.363.1065. o posterior detecta componentes y comportamientos relacionados con esta amenaza y protege a los clientes a través de las siguientes detecciones:
    • Comportamiento: Acquire32/SuspAzureRequest.A
    • Comportamiento: Acquire32/SuspAzureRequest.B
    • Comportamiento: Earn32/SuspAzureRequest.C
    • Comportamiento: Get32/LaunchingSuspCMD.B
  • Las alertas de Microsoft Defender para Endpoint con los siguientes títulos en el portal de Microsoft 365 Defender pueden indicar actividad de amenazas en su red:
    • Línea de comandos de PowerShell sospechosa.
    • Posible explotación de Azure Synapse Integration Runtime.

Los clientes de Microsoft Sentinel pueden usar las siguientes consultas basadas en las firmas de Microsoft Defender para Endpoint para identificar comportamientos sospechosos que aprovechen esta vulnerabilidad.

  • Firmas de Microsoft Defender for Endpoint (MDE) para Canalizaciones de Azure Synapse y Azure Information Manufacturing facility: esta consulta busca detecciones de Microsoft defender para puntos de conexión relacionadas con los intentos de ejecución de comandos remotos en Azure IR con Managed VNet o SHIR. En Microsoft Sentinel, la tabla SecurityAlerts incluye el nombre del dispositivo afectado. Además, esta consulta se une a la tabla DeviceInfo para conectar otra información, como el grupo de dispositivos, la dirección IP, los usuarios registrados y otros, lo que permite a los analistas que usan Microsoft Sentinel tener más contexto relacionado con la alerta.
  • Posibles intentos de inyección de comandos contra Azure Integration Runtimes: esta consulta de búsqueda busca posibles intentos de inyección de comandos a través del controlador de terceros vulnerable contra Azure IR con Managed VNet o SHIR, así como la actividad posterior a la explotación basada en la ejecución del proceso y la actividad de la línea de comandos.

Recomendaciones de clientes y soporte adicional

Para garantizar que sus recursos reciban las actualizaciones de seguridad necesarias, los clientes que usan Azure Data Manufacturing facility con IR autohospedados (SHIR) con actualización automática desactivada deben actualizar sus SHIR a la última versión (5.17.8154.2) . Los clientes pueden descargar la última versión aquí. Estos clientes también fueron notificados de esta guía a través de Estado del servicio (ID de seguimiento: MLC3-LD0) en Azure Portal.

No se requiere ninguna otra acción de los clientes que usan SHIR con la actualización automática habilitada o clientes que usan Azure IR.

Los clientes pueden obtener más información sobre las actualizaciones realizadas en Self-hosted IR para esta vulnerabilidad en el Notas de lanzamiento.

Para una protección adicional, Microsoft recomienda configurar los espacios de trabajo de Synapse con un Purple virtual administrada que proporciona un mejor aislamiento informático y de crimson. Los clientes que usan Azure Facts Factory pueden habilitar los tiempos de ejecución de integración de Azure con un Purple digital administrada. Microsoft toma medidas continuamente para aplicar protecciones adicionales para fortalecer las plataformas Azure Data Factory y Azure Synapse Analytics y proteger a nuestros clientes.

Esfuerzos continuos para proteger a los clientes

Si bien Microsoft aplicó las mitigaciones necesarias para la vulnerabilidad que Orca Safety informó el 15 de abril, continuamos invirtiendo esfuerzos de ingeniería para garantizar que los clientes de Azure Data Factory y las cargas de trabajo de canalización de Synapse que se ejecutan en nuestra nube sean seguras y confiables. Nuestros esfuerzos continuos incluyen:

  • Continuar trabajando con nuestros proveedores de controladores externos para garantizar que todas las actualizaciones cumplan con nuestros estándares de seguridad compartir con nuestros proveedores externos nuestras herramientas y técnicas de seguridad para garantizar una huella segura
  • Garantizar que los procesos y las cargas de trabajo en la nube, incluidos los conectores de datos de terceros, se ejecuten en una arquitectura Zero Believe in que avance el aislamiento entre inquilinos. Específicamente, estamos implementando la virtualización de la ejecución de conectores de terceros para lograr el aislamiento por inquilino.
  • Monitoreo proactivo de la huella más amplia de los servicios de Microsoft que aprovechan los conectores de terceros.
  • Inversión continua en monitoreo y detecciones para alertas proactivas, notificaciones y mitigación acelerada.

Por favor visite nuestro Aviso de seguridadPara obtener más detalles sobre nuestro esfuerzo continuo para abordar este problema: ADV220001.

Queremos agradecer a Orca Protection por reportar esta vulnerabilidad. Alentamos a todos los investigadores a trabajar con proveedores bajo Divulgación de vulnerabilidad coordinada (CVD) y cumplir con los términos y condiciones del Programa de recompensas por errores de Microsoft para evitar afectar los datos del cliente mientras realizar investigaciones de seguridad.

Recursos adicionales

  • Detalles sobre este CVE: CVE-2022-29972
  • Aviso de seguridad de Microsoft: medidas de defensa en profundidad para Azure Info Manufacturing facility y Azure Synapse pipeline: ADV220001

El equipo MSRC



Fuente del articulo