摘要

微软近期修复了Azure Site Recovery（ASR）中的一组漏洞，并于7月12日（定期更新周二）发布了修复程序。这些漏洞影响所有使用VMware/物理到Azure场景的ASR本地客户，并在最新的ASR 9.49版本中修复。建议客户升级至最新版本（https://aka.ms/upgrade-to-9.49）以保持安全。

微软未发现这些漏洞被利用，它们仅影响复制能力，不影响客户工作负载。由于这是本地产品，不存在跨租户数据暴露风险。此外，这些CVE需要攻击者先获取ASR本地环境中的合法凭据。如果您认为受到影响，请通过aka.ms/azsupt提交支持案例。

漏洞影响

今日修复包括以下类型的CVE：

• SQL注入（SQLi）：主要修复类别是可能导致权限提升（EoP）的SQLi漏洞。利用这些漏洞需要攻击者拥有ASR保护VM的管理员凭据。微软正在持续改进输入清理以强化ASR防御类似向量。
• 权限提升（EoP）：第二类别包括与SQLi无关的EoP向量，允许普通用户提升权限。其中之一是CVE-2022-33675，由研究合作伙伴披露，专门影响ASR Process Server组件（仅用于VMware到Azure灾难恢复场景）。利用此漏洞需要攻击者先拥有运行ASR Process Server系统的标准用户凭据。
• 远程代码执行（RCE）：第三类别是影响ASR设备的RCE漏洞。利用这些漏洞需要攻击者拥有ASR保护VM的管理员凭据，以在特定条件下在ASR设备上执行任意代码。

客户行动

总结：这些漏洞影响所有使用VMware/物理到Azure场景的ASR本地客户，并在ASR 9.49版本中修复。建议升级至最新版本（https://aka.ms/upgrade-to-9.49）以保持安全。

微软感谢研究社区报告这些漏洞，并与Microsoft Security Response Center（MSRC）在协调漏洞披露（CVD）下合作，帮助保护客户安全。

附加参考

• 升级至ASR 9.49：https://aka.ms/upgrade-to-9.49
• 访问Security Update Guide获取CVE详细信息
• 查看Release Notes了解安全修复详情
• 如有问题，通过Azure Portal（aka.ms/azsupt）提交支持案例