出大事了！

幾個(gè)月前，微軟的人工智能研究團(tuán)隊(duì)在GitHub上發(fā)布大量開(kāi)源訓(xùn)練數(shù)據(jù)時(shí)，曾發(fā)生了大規(guī)模泄露。

高達(dá)38 TB的數(shù)據(jù)流出，包括員工電腦的的個(gè)人備份、私人密鑰和三萬(wàn)多條內(nèi)部的Teams消息。

原來(lái)，是微軟的AI研究團(tuán)隊(duì)在發(fā)布開(kāi)源訓(xùn)練數(shù)據(jù)集時(shí)，不小心打開(kāi)了「小金庫(kù)」的門。

而泄露之所以會(huì)發(fā)生，是因?yàn)橐粋€(gè)SAS token配置錯(cuò)誤了。

微軟的工作人員，都是使用Azure來(lái)共享文件的。但現(xiàn)在，它的便利性也成了一把雙刃劍——容易共享，卻也容易泄露。

就在昨天，微軟和Wiz同時(shí)發(fā)博，梳理了一下這件事的來(lái)龍去脈，因此廣大群眾們才了解到，原來(lái)三個(gè)月前發(fā)生過(guò)這么一場(chǎng)嚴(yán)重的泄漏事件。

Microsoft調(diào)查結(jié)果

在得知了捅出這么大一個(gè)簍子之后，微軟也馬上修復(fù)了這個(gè)問(wèn)題，并對(duì)可能產(chǎn)生影響的文件進(jìn)行了全面的排查，還發(fā)了一個(gè)官方博客對(duì)泄露事件進(jìn)行了總結(jié)。

官方博客最主要的目的是安撫客戶，微軟一開(kāi)頭就表示了「沒(méi)有客戶數(shù)據(jù)泄露，也沒(méi)有其他內(nèi)部服務(wù)因?yàn)檫@個(gè)問(wèn)題而處于危險(xiǎn)之中。對(duì)于此問(wèn)題，不需要客戶采取任何行動(dòng)。」

但是如此大規(guī)模的數(shù)據(jù)泄漏，別說(shuō)微軟的客戶了，就是路過(guò)的吃瓜群眾看了消息也不是很放心啊。

我們就來(lái)看看這次數(shù)據(jù)泄漏的前因后果。

最早發(fā)現(xiàn)泄漏的是一個(gè)云安全公司W(wǎng)iz，他們?cè)诎l(fā)現(xiàn)了這個(gè)問(wèn)題之后，在將問(wèn)題告知微軟的同時(shí)，把自己的發(fā)現(xiàn)和分析寫了一篇長(zhǎng)文博客，為自己的業(yè)務(wù)能力打了一波廣告。

按照Wiz的說(shuō)法，微軟的人工智能研究團(tuán)隊(duì)在GitHub上發(fā)布大量開(kāi)源訓(xùn)練數(shù)據(jù)時(shí)，意外暴露了38 TB的額外私人數(shù)據(jù)，其中包括2名員工工作站的硬盤備份。

其中包括：機(jī)密文件、私鑰、密碼和超過(guò) 30,000 條內(nèi)部 Microsoft Teams 消息。

但是因?yàn)榘l(fā)現(xiàn)這個(gè)漏洞的公司本來(lái)就是網(wǎng)絡(luò)安全公司，而且第一時(shí)間聯(lián)系了微軟，所以大概率這些數(shù)據(jù)沒(méi)有被真正泄露出去。

而數(shù)據(jù)意外暴露的過(guò)程，是源于Wiz的研究團(tuán)隊(duì)在網(wǎng)上掃描意外暴露云托管數(shù)據(jù)時(shí)的發(fā)現(xiàn)。

Github上Microsoft的組織下找到了一個(gè)名為robust-models-transfer的Repo。瀏覽者可以通過(guò)Azure的存儲(chǔ)URL來(lái)下載模型：

但是，用戶通過(guò)這個(gè)URL能夠訪問(wèn)的不僅僅是這個(gè)開(kāi)源模型。它被配置為授予用戶訪問(wèn)整個(gè)存儲(chǔ)帳戶的權(quán)限，從而公開(kāi)了其他私人敏感數(shù)據(jù)。

掃描顯示，此帳戶包含38 TB的額外數(shù)據(jù)，包括兩個(gè)微軟員工的電腦硬盤備份。

圖：「robustnessws4285631339」存儲(chǔ)帳戶下泄漏出來(lái)的文件夾

圖：在文件備份中發(fā)現(xiàn)的一小部分敏感文件

兩名微軟員工的Teams聊天記錄

而且除了錯(cuò)誤的訪問(wèn)權(quán)限之外，這個(gè)SAS token還被錯(cuò)誤地配置為「完全控制」權(quán)限。這意味著，其他用戶不僅可以查看存儲(chǔ)帳戶中的所有文件，還可以刪除和篡改這些文件。

因?yàn)镽epo原本的目的是提供一個(gè)用于訓(xùn)練代碼的AI模型。Repo會(huì)引導(dǎo)用戶從SAS鏈接下載格式為ckpt的模型數(shù)據(jù)文件。

它是使用Python的 pickle 格式化器格式化的，很容易引發(fā)任意代碼執(zhí)行（ACE）攻擊。

攻擊者可以將惡意代碼注入到這個(gè)存儲(chǔ)帳戶中的所有AI模型中，每個(gè)信任這個(gè)微軟GitHub Repo的用戶都會(huì)受到威脅。

不過(guò)還好，因?yàn)檫@個(gè)賬戶是在Wiz研究團(tuán)隊(duì)主動(dòng)掃描時(shí)找到的，并并沒(méi)有公開(kāi)給所有的訪問(wèn)用戶。

微軟Azure使用了一種被稱為「SAS token」的機(jī)制。用戶通過(guò)這個(gè)機(jī)制來(lái)創(chuàng)建鏈接分享自己的存儲(chǔ)賬戶的訪問(wèn)權(quán)限，而經(jīng)過(guò)他們檢查，這個(gè)賬戶還是完全私有的。

微軟也表示，由于Wiz的研究發(fā)現(xiàn)，他們已經(jīng)擴(kuò)展了GitHub的一項(xiàng)特殊監(jiān)控服務(wù)，會(huì)監(jiān)視所有公開(kāi)開(kāi)源代碼的更改，以防止可能的代碼篡改和敏感文件泄露。

SAS token簡(jiǎn)介

SAS（Shared Access Signature）即共享訪問(wèn)簽名。

在Azure中，SAS token是一個(gè)經(jīng)過(guò)認(rèn)證的URL，它能夠授予對(duì)Azure存儲(chǔ)數(shù)據(jù)的訪問(wèn)權(quán)限。

SAS的訪問(wèn)權(quán)限可由用戶自定義。

訪問(wèn)的內(nèi)容可以是單個(gè)文件、容器或整個(gè)存儲(chǔ)帳戶，權(quán)限介于只讀和完全控制之間。

過(guò)期時(shí)間也可以自定義，并允許用戶創(chuàng)建無(wú)限期的訪問(wèn) token。

這種精細(xì)的操作劃分為用戶帶來(lái)了極大靈活性和機(jī)動(dòng)性，但也可能會(huì)導(dǎo)致授權(quán)過(guò)多帶來(lái)的一系列風(fēng)險(xiǎn)。

這次微軟內(nèi)部數(shù)據(jù)的泄露印證了這一點(diǎn)。

在權(quán)限最大的情況下，token可以永久開(kāi)放對(duì)整個(gè)帳戶的所有權(quán)限，基本上與賬戶密鑰的訪問(wèn)權(quán)限相同。

SAS token有3種類型：賬戶SAS、服務(wù)SAS和用戶授權(quán)SAS。

其中，最常用的是賬戶SAS  token，微軟的Repo中使用的也是這種token。

生成賬戶SAS的過(guò)程很簡(jiǎn)單，如下圖所示：

用戶配置token的范圍、權(quán)限和有效期，然后生成token。隨后在后臺(tái)中，瀏覽器會(huì)從Azure下載帳戶密鑰，并用密鑰簽署生成的token。

整個(gè)過(guò)程都將在瀏覽器上完成，與Azure云中的資源或事件無(wú)關(guān)。

因此，當(dāng)用戶創(chuàng)建了一個(gè)具有高權(quán)限且無(wú)限期的token時(shí)，管理員根本無(wú)法得知這個(gè)token的地點(diǎn)以及流通范圍。

這使得想要吊銷token變得十分困難。

管理員需要輪換簽署token的帳戶密鑰，從而使所有由相同密鑰簽署的其他令牌也變得無(wú)效。

這個(gè)缺陷讓這項(xiàng)服務(wù)很容易成為尋找暴露數(shù)據(jù)的攻擊目標(biāo)。

除了意外暴露的風(fēng)險(xiǎn)，該服務(wù)的缺陷還使其成為攻擊者在入侵賬戶中進(jìn)行持久攻擊的有效工具。

微軟最近的一份報(bào)告表明，攻擊者正在利用該服務(wù)缺乏監(jiān)控功能的特點(diǎn)，生成特權(quán)SAS token作為后門。

但由于token的發(fā)放在任何地方都沒(méi)有記錄，所以管理員無(wú)法對(duì)其采取相應(yīng)的行動(dòng)。

SAS安全建議

Wiz在回顧分析了微軟數(shù)據(jù)泄露的整個(gè)流程后，貼心地針對(duì)這次的始作俑者SAS，為用戶提出了一些提高SAS安全性的建議。

SAS管理

首先是管理方面，由于賬戶SAS token缺乏安全性和管理，因此應(yīng)將其視為與賬戶密鑰本身，給予同樣的重視

要避免將賬戶 SAS用于外部共享，token創(chuàng)建的錯(cuò)誤很容易被忽視并暴露敏感數(shù)據(jù)。

如果要進(jìn)行外部共享，可考慮將服務(wù) SAS與存儲(chǔ)訪問(wèn)策略一起使用。

該功能可以將 SAS token與服務(wù)器端策略相連，從而能過(guò)以集中方式管理策略和撤銷策略。

如果需要以有時(shí)間期限的方式共享內(nèi)容，可以考慮用戶授權(quán)SAS，它僅提供上限為7天的訪問(wèn)權(quán)。

并且，它還能將 SAS token與 Azure Active Directory的身份管理連接起來(lái)，提供對(duì)令牌創(chuàng)建者及其用戶身份的控制和可見(jiàn)性。

此外，Wiz建議為外部共享創(chuàng)建專用的存儲(chǔ)帳戶，以確保過(guò)度授權(quán)的token其潛在影響僅限于外部數(shù)據(jù)。

為了禁用SAS token，企業(yè)必須分別禁用每個(gè)存儲(chǔ)賬戶的 SAS訪問(wèn)權(quán)限。云安全策略管理（CSPM） 可以作為一項(xiàng)策略來(lái)進(jìn)行跟蹤和執(zhí)行。

另一種禁用SAS token創(chuàng)建的解決方案是阻止Azure中的“列出存儲(chǔ)帳戶密鑰”操作（因?yàn)闆](méi)有密鑰，無(wú)法創(chuàng)建新的SAS令牌），然后輪換當(dāng)前的帳戶密鑰，以使現(xiàn)有的SAS令牌無(wú)效。

這種方法仍然允許創(chuàng)建用戶授權(quán)SAS，因?yàn)樗蕾囉谟脩裘荑€而不是賬戶密鑰。

SAS監(jiān)管

其次是監(jiān)管方面，如果要跟蹤活動(dòng)SAS token的使用情況，需要為每個(gè)存儲(chǔ)賬戶啟用Storage Analytics日志。

生成的日志將包含SAS token訪問(wèn)的詳細(xì)信息，包括簽名密鑰和分配的權(quán)限。

但需要注意的是，只有主動(dòng)使用的token才會(huì)出現(xiàn)在日志中，并且啟用日志會(huì)產(chǎn)生額外費(fèi)用，這對(duì)于活動(dòng)頻繁的賬戶來(lái)說(shuō)可能會(huì)很昂貴。

此外，Azure Metrics也可用于監(jiān)控存儲(chǔ)賬戶中 SAS token的使用情況。

在默認(rèn)情況下，Azure會(huì)記錄和匯總長(zhǎng)達(dá) 93 天的存儲(chǔ)帳戶事件。利用Azure Metrics，用戶可以通過(guò)查找 SAS 驗(yàn)證請(qǐng)求，找到使用 SAS token的存儲(chǔ)賬戶。

SAS秘密掃描

最后是使用秘密掃描工具來(lái)檢測(cè)工件和公開(kāi)暴露資產(chǎn)（如移動(dòng)應(yīng)用程序、網(wǎng)站和 GitHub 存儲(chǔ)庫(kù)）中泄漏或過(guò)度授權(quán)的 SAS token，這在微軟的案例中可以看到。

對(duì)于Wiz的用戶，Wiz提供了秘密掃描功能來(lái)識(shí)別內(nèi)部和外部資產(chǎn)中的SAS token，并探索其權(quán)限。此外，還可以使用Wiz CSPM跟蹤支持SAS的存儲(chǔ)賬戶。

Wiz介紹

幫助微軟發(fā)現(xiàn)這次數(shù)據(jù)泄漏，防止了可能出現(xiàn)的更嚴(yán)重的后果的Wiz，是一家位于美國(guó)紐約，創(chuàng)立于2020年的網(wǎng)絡(luò)云安全初創(chuàng)公司。

根據(jù)公司自己的介紹，他們的業(yè)務(wù)主要是幫助企業(yè)發(fā)現(xiàn)公共云基礎(chǔ)設(shè)施中的安全問(wèn)題，為企業(yè)安全團(tuán)隊(duì)設(shè)計(jì)云原生可視性解決方案，可分析整個(gè)云環(huán)境，提供跨云、容器和工作負(fù)載的安全風(fēng)險(xiǎn) 360° 視圖。

在8月底，他們剛剛完成了接近3億美元的D輪融資，估值接近100億美元，是云安全領(lǐng)域的一只巨型獨(dú)角獸。

客戶包括了各行各業(yè)對(duì)于云服務(wù)和安全有需求的公司。

4位創(chuàng)始人：Ami Luttwak、Assaf Rappaport、Yinon Costiva 和 Roy Reznik都來(lái)自以色列，他們相識(shí)于在以色列軍隊(duì)服役期間。

后來(lái)4人開(kāi)發(fā)了一個(gè)名為Adallom的云訪問(wèn)代理產(chǎn)品，2015年被微軟收購(gòu)。4人因此加入了微軟。而他們開(kāi)發(fā)的云安全產(chǎn)品被微軟整合了進(jìn)自己的服務(wù)之中，為微軟創(chuàng)造了每年接近10億的云安全業(yè)務(wù)收入。

當(dāng)他們發(fā)現(xiàn)自己做的業(yè)務(wù)和產(chǎn)品，在微軟Azure之外，也有非常好的市場(chǎng)前景時(shí)，他們4人決定離開(kāi)，共同創(chuàng)立第二家企業(yè)——Wiz。

因?yàn)樗麄儼l(fā)現(xiàn)與本地網(wǎng)絡(luò)安全不同，安全團(tuán)隊(duì)無(wú)法在「單一管理平臺(tái)」中查看所有云服務(wù)器，而Wiz正是瞄準(zhǔn)了這個(gè)市場(chǎng)發(fā)力，提供了一個(gè)支持多個(gè)公有云服務(wù)的安全管理平臺(tái)。