Microsoft mitiga la vulnerabilidad en Jupyter Notebooks para Azure Cosmos DB – Centro de respuestas de seguridad de Microsoft

Resumen

Microsoft solucionó recientemente una vulnerabilidad de omisión de autenticación en Jupyter Notebooks para Azure Cosmos DB (actualmente en versión preliminar) informada por Orca Protection. Los clientes que no usan Jupyter Notebooks (el 99,8 % de los clientes de Azure Cosmos DB NO usan Jupyter Notebooks) no eran susceptibles a esta vulnerabilidad.

El error se introdujo el 12 de agosto y se corrigió por completo en todo el mundo el 6 de octubre, dos días después de que se informara. Para explotarlo, un atacante tendría que adivinar un GUID criptográficamente aleatorio de 128 bits de una sesión activa y usarlo en una hora. Microsoft realizó una investigación de los datos de registro del 12 de agosto al 6 de octubre y no identificó ninguna solicitud de fuerza bruta que indicara actividad maliciosa.

Ningún cliente se vio afectado y no se requiere ninguna acción.

Detalles técnicos

Como se mencionó anteriormente, para explotar con éxito esta vulnerabilidad, un atacante debe conocer el GUID único por sesión y debe actuar dentro de la ventana de 1 hora que una sesión está activa.

Los cuadernos de Jupyter Notebook para Azure Cosmos DB se ejecutan en el contexto de un espacio de trabajo de cuaderno temporal que tiene una vida útil máxima de una hora. Después de una hora, el espacio de trabajo y todos los datos que contiene, incluidos los cuadernos, se eliminan automáticamente. El espacio de trabajo temporal se identifica mediante un identificador único generado aleatoriamente, también conocido como forwardingId.

Si se pudiera adivinar el forwardingId del espacio de trabajo de las libretas temporales activas de otro usuario, esta vulnerabilidad podría permitir que un atacante obtenga acceso de lectura/escritura a las libretas en el espacio de trabajo de la víctima. El impacto potencial se limita al acceso de lectura/escritura de los cuadernos de la víctima durante el tiempo (máximo 1 hora) en que su espacio de trabajo de cuadernos temporales está activo. La vulnerabilidad, incluso con conocimiento del forwardingId, no no dar la capacidad de ejecutar cuadernos, guardar automáticamente cuadernos en el repositorio de GitHub conectado de la víctima (opcional) o acceder a los datos en la cuenta de Azure Cosmos DB.

La vulnerabilidad es difícil de explotar porque el forwadingID tiene una longitud de 128 bits y se genera aleatoriamente, caduca en una hora y no se reutiliza. En agosto de 2022, un cambio en una de las API de again-close que usan los portátiles Jupyter de AzureCosmos DB provocó que las solicitudes no se autentificaran como se esperaba.

Como se indicó anteriormente, Microsoft mitigó la vulnerabilidad el 6 de octubre de 2022. Ningún cliente se vio afectado y no se requiere ninguna acción.

Reconocimiento

Agradecemos la oportunidad de investigar los hallazgos informados por Orca Stability, que nos ayudaron a fortalecer aún más el servicio, y les agradecemos por practicar una investigación de seguridad segura según los términos de la Programa de recompensas por errores de Microsoft. Alentamos a todos los investigadores a trabajar con proveedores bajo Divulgación de vulnerabilidad coordinada (CVD) y acatar las reglas del compromiso para pruebas de penetración para evitar el impacto en los datos del cliente mientras se realizan investigaciones de seguridad.

Referencias

¿Preguntas? Abra un caso de soporte a través de Azure Portal en aka.ms/azsupt.



Fuente del articulo