Mitigación de la vulnerabilidad de Oracle del relleno de cifrado del lado del cliente del SDK de Azure Storage: Centro de respuestas de seguridad de Microsoft

Resumen:

Google informó a Microsoft bajo Divulgación de vulnerabilidad coordinada (CVD) de una vulnerabilidad de oráculo de relleno que puede afectar a los clientes que utilizan el cifrado del lado del cliente de Azure Storage SDK (para Python, .Internet, Java) (CVE-2022-30187). Para mitigar esta vulnerabilidad, lanzamos una nueva versión de disponibilidad general (GA) de la característica de cifrado del lado del cliente de Azure Storage SDK (v2) el 12 de julio de 2022.

Microsoft no tiene conocimiento de ninguna explotación informada de esta vulnerabilidad que afecte a los servicios de Azure. Recomendamos a los clientes afectados que requieren cifrado del lado del cliente que migren a v2 para permanecer seguros. Para más detalles, lea el Web site de almacenamiento de Azure o consulte la sección Referencias adicionales a continuación.

Impacto en el cliente:

Como se mencionó, las aplicaciones que usan el cifrado del lado del cliente en Azure Storage SDK (para Python, .Web, Java) pueden verse afectadas y deben actualizarse para permanecer lo más seguras posible. Si tiene preguntas sobre si se ve afectado, consulte la sección «Cómo verificar si usa la función de cifrado del lado del cliente» en la Blog site de almacenamiento de Azure.

Para obtener instrucciones sobre cómo migrar a v2, consulte la sección «Acción requerida para remediar esta vulnerabilidad» en el Weblog de almacenamiento de Azure. La migración requiere: a) actualizar el código para usar el cifrado del lado del cliente v2 yb) migrar los datos previamente cifrados con el cifrado del lado del cliente v1 al cifrado del lado del cliente v2.

Como alternativa al cifrado del lado del cliente, los clientes afectados pueden investigar el uso del cifrado del lado del servidor de Azure Storage para proteger los datos en reposo. Consulte la sección «Cifrado del lado del servidor de Azure Storage» en la Site de almacenamiento de Azure para obtener información sobre el cifrado del lado del servidor.

Detalles técnicos:

Los SDK de Azure Storage .Web, Java y Python admiten el cifrado en el cliente con una clave administrada por el cliente mantenida en Azure Crucial Vault u otro almacén de claves. Las versiones publicadas anteriormente de los SDK de Azure Storage usan el modo de encadenamiento de bloques de cifrado (CBC) para el cifrado del lado del cliente (denominado «v1»). La implementación v1 del modo de bloque CBC es susceptible a un ataque de oráculo de relleno, siempre que el atacante tenga acceso de escritura al blob y pueda observar fallas de descifrado. Nuestra investigación mostró que un atacante necesitaría realizar una cantidad significativa de pulsaciones de teclas por byte de texto sin formato para descifrar el contenido del blob. Nuevamente, Microsoft no tiene conocimiento de ninguna explotación informada de esta vulnerabilidad que afecte a los servicios de Azure.

Nos gustaría agradecer a Google por informar esta vulnerabilidad y trabajar con Microsoft Security Response Heart (MSRC) bajo Divulgación de vulnerabilidad coordinada (CVD) para ayudar a mantener seguros a los clientes de Microsoft.

Referencias:



Fuente del articulo