多名安全專家近期指責(zé)微軟，稱其在回應(yīng)威脅其客戶的漏洞報告時缺乏透明度和足夠的速度。在本周二發(fā)布的博文中就闡述了微軟在這方面的失敗，內(nèi)容稱微軟在修復(fù) Azure 中的一個關(guān)鍵漏洞用了 5 個月的時間，而且先后發(fā)布了 3 個補(bǔ)丁。

Orca Security 在 1 月初首次向微軟通報了該漏洞，該漏洞位于云服務(wù)的 Synapse Analytics 組件中，并且還影響了 Azure 數(shù)據(jù)工廠。它使任何擁有 Azure 帳戶的人都能夠訪問其他客戶的資源。

Orca Security 研究員 Tzah Pahima 表示，攻擊者可以實現(xiàn)

• 在充當(dāng) Synapse 工作區(qū)的同時在其他客戶帳戶中獲得授權(quán)。根據(jù)配置，我們可以訪問客戶帳戶中的更多資源。
• 泄露存儲在 Synapse 工作區(qū)中的客戶憑據(jù)。
• 與其他客戶的集成運(yùn)行時進(jìn)行通信?？梢岳盟谌魏慰蛻舻募蛇\(yùn)行時上運(yùn)行遠(yuǎn)程代碼 (RCE)。
• 控制管理所有共享集成運(yùn)行時的 Azure 批處理池。可以在每個實例上運(yùn)行代碼。

Pahima 說，盡管該漏洞很緊迫，但微軟的響應(yīng)者卻遲遲沒有意識到它的嚴(yán)重性。微軟在前兩個補(bǔ)丁中搞砸了，直到周二，微軟才發(fā)布了完全修復(fù)該漏洞的更新。 Pahima 提供的時間表顯示了他的公司花費(fèi)了多少時間和工作來引導(dǎo)微軟完成整治過程：

• 1 月 4 日 – Orca 安全研究團(tuán)隊向 Microsoft 安全響應(yīng)中心 (MSRC) 披露了該漏洞，以及我們能夠提取的密鑰和證書。
• 2 月 19 日和 3 月 4 日——MSRC 要求提供更多細(xì)節(jié)以幫助其調(diào)查。每次，我們都會在第二天回復(fù)。
• 3 月下旬 – MSRC 部署了初始補(bǔ)丁。
• 3 月 30 日 – Orca 能夠繞過補(bǔ)丁。突觸仍然脆弱。
• 3 月 31 日 - Azure 獎勵我們 60,000 美元用于我們的發(fā)現(xiàn)。
• 4 月 4 日（披露后 90 天）– Orca Security 通知 Microsoft 密鑰和證書仍然有效。 Orca 仍然可以訪問 Synapse 管理服務(wù)器。
• 4 月 7 日 – Orca 與 MSRC 會面，以闡明該漏洞的影響以及全面修復(fù)該漏洞所需的步驟。
• 4 月 10 日 - MSRC 修補(bǔ)繞過，最終撤銷 Synapse 管理服務(wù)器證書。 Orca 能夠再次繞過補(bǔ)丁。突觸仍然脆弱。
• 4 月 15 日 - MSRC 部署第三個補(bǔ)丁，修復(fù) RCE 和報告的攻擊向量。
• 5 月 9 日 – Orca Security 和 MSRC 都發(fā)布了博客，概述了漏洞、緩解措施和針對客戶的建議。
• 5 月底 – Microsoft 部署了更全面的租戶隔離，包括用于共享 Azure 集成運(yùn)行時的臨時實例和范圍令牌。

他表示：“任何使用 Azure Synapse 服務(wù)的人都可以利用這兩個漏洞。在評估情況后，微軟決定默默修補(bǔ)其中一個問題，淡化風(fēng)險。只是在被告知我們將要上市之后，他們的故事才發(fā)生了變化……在最初的漏洞通知后 89 天……他們私下承認(rèn)了安全問題的嚴(yán)重性。迄今為止，尚未通知 Microsoft 客戶”。