Vulnerabilidad solucionada en Azure Synapse Spark – Microsoft Security Response Center

Resumen:

Microsoft adopta un enfoque proactivo para probar continuamente nuestras defensas, buscar vulnerabilidades y buscar formas nuevas e innovadoras de proteger a nuestros clientes. Los investigadores de seguridad son una parte importante de este esfuerzo, y nuestra asociación de colaboración es essential en un mundo donde los ataques de seguridad cibernética continúan creciendo en número y sofisticación. Valoramos el papel que juega la comunidad de investigación de seguridad para ayudar a proteger los productos y servicios de Microsoft y el ecosistema más amplio.

Orca Safety es uno de esos investigadores. Por debajo Divulgación de vulnerabilidad coordinada (CVD)informaron a Microsoft el 1 de junio de 2022 sobre una vulnerabilidad de elevación de privilegios (EoP) que afectaba a Azure Synapse Spark. Microsoft corrigió esta vulnerabilidad de EoP el 18 de junio de 2022. No se requiere ninguna acción del cliente.

Detalles de vulnerabilidad:

Azure Synapse proporcionó a los usuarios la capacidad de montar Azure File Shares en sus Apache Spark Pools a través de un script llamado filesharemount.sh que se ejecutaría con privilegios elevados. Este script montaría el recurso compartido de archivos en el /sinfs directorio. Había una condición de carrera en el script donde, si se explotaba con éxito, un usuario podía ejecutar el Chon para cambiar la propiedad de cualquier directorio, incluido el que contiene el filesharemount.sh sí mismo. Esto permitió a un usuario ejecutar código adicional con privilegios de root.

Si bien el comportamiento de EoP no fue intencionado, el impacto se limitó solo al grupo de Spark del usuario. No permitía el acceso no autorizado a las cargas de trabajo de otros clientes ni a los secretos confidenciales.

Respuesta de Microsoft:

Mitigamos este EoP en Synapse Spark a través de lo siguiente:

  1. Eliminamos la capacidad de montar recursos compartidos de archivos de Azure en grupos de Spark de forma indefinida para rediseñar una alternativa más segura.
  2. Actualizamos la documentación para Cómo usar la API de montaje/desmontaje de archivos en Synapse para proporcionar un enfoque alternativo para montar de forma segura el almacenamiento en grupos Spark.

Al igual que con todos nuestros productos y servicios, seguimos dando prioridad a las mejoras de seguridad de adentro hacia afuera. Para Synapse Spark, nosotros:

  • Se implementaron capas adicionales de defensa en profundidad.
  • Capacidades de detección mejoradas para alertar a nuestros equipos de seguridad de actividad anómala, para incluir:
    • Escalamiento de shell interactivo
    • Exfiltración de datos
    • Llamadas API anómalas
    • Uso de herramientas de línea de comando específicas
  • Realizó análisis de variantes de componentes clave utilizados por Synapse Spark para enumerar posibles rutas de ataque
  • Realizó una búsqueda proactiva de exploits adicionales y probó los límites de seguridad.

El endurecimiento adicional de Synapse Spark es un ejemplo de nuestro trabajo continuo para mejorar la seguridad de nuestros productos y proteger a nuestros clientes. Para obtener más información sobre las ofertas de seguridad de Azure, visite la Catálogo de seguridad de Azure.

Orientación al cliente:

Para reiterar, no se requiere ninguna acción por parte de los clientes.

Nuestras investigaciones internas determinaron que se trata de una escalada de privilegios locales dentro del grupo de Spark del usuario y no da lugar a escenarios entre inquilinos ni a la exposición de secretos confidenciales o datos del cliente.

Nos gustaría agradecer a Orca por informar esta vulnerabilidad y trabajar con Microsoft Safety Response Heart (MSRC) bajo Divulgación de vulnerabilidad coordinada para ayudar a mantener seguros a los clientes de Microsoft. Para obtener más información sobre nuestro programa de recompensas por errores, visite nuestro Programa de recompensas por errores de Microsoft página, revise el programa Términos y condicionesy lea nuestra reciente publicación de website «Microsoft Bug Bounty Software Calendar year in Evaluate».

Referencias adicionales:

¿Preguntas? Abra un caso de soporte a través de Azure Portal en aka.ms/azsupt.

Cronología:

Fecha Acción tomada
2022-06-01 Orca envía informe inicial a Microsoft
2022-06-15 Synapse Spark proporciona una evaluación inicial de los hallazgos
2022-06-16 Comienza la auditoría interna del servicio Synapse Spark
2022-06-18 Mistake de elevación de privilegios mitigado
2022-06-18 Comienza el análisis de variantes del servicio Synapse Spark
2022-06-18 Auditoría interna del servicio Synapse Spark completa
2022-06-21 Investigaciones completadas. No se descubre ningún impacto en los datos del cliente, los secretos o los límites de los inquilinos.
2022-06-21 Comienza el análisis completo de la superficie de amenazas del servicio Spark
2022-08-10 Orca proporciona a MSRC un borrador de su blog



Fuente del articulo