缓解影响 Azure 机器学习的 SSRF 漏洞

摘要

2024年5月9日，微软成功修复了Azure机器学习（AML）服务中的多个漏洞，这些漏洞最初由安全研究公司Wiz和Tenable发现。这些漏洞包括服务器端请求伪造（SSRF）和路径遍历漏洞，可能通过拒绝服务（DOS）导致信息暴露和服务中断。我们进行了彻底的内部调查，以识别是否有客户资源通过这些漏洞被利用或泄露，我们的审查未发现任何利用或泄露的证据。

我们根据对信任和透明的承诺披露这些漏洞。此更新仅供您了解情况；客户无需采取任何行动。

漏洞详情

微软于2024年4月收到Wiz和Tenable关于SSRF漏洞的警报。工程团队的行动导致在2024年5月9日迅速部署了缓解措施。

这些漏洞可能允许HTTP客户端发出未经授权的请求，可能包括内部IP。这些内部IP可以访问AML的内部Kubernetes基础设施，并暴露后端元数据，如网络和Pod信息，这些信息可能被用于中断AML服务操作。尽管存在现有的安全措施，这些漏洞绕过了某些验证，突显了增强安全控制的必要性。

缓解措施

SSRF攻击向量于2024年5月9日被有效阻止，通过实施严格的客户端输入和HTTP重定向验证。作为我们持续安全努力的一部分，我们还在评估所有服务到服务的网络流量，并将对内部网络通信应用更严格的控制。更广泛地说，我们还在努力增强纵深防御，通过与合作的开源软件团队协作，使在没有额外元数据的情况下请求未经授权的操作更加困难，以帮助其他用户。

结论

我们珍视与Wiz和Tenable合作的机会，并鼓励所有研究人员在协调漏洞披露（CVD）下与供应商合作，并遵守渗透测试的参与规则，以避免在进行安全研究时影响客户数据。向微软安全响应中心报告安全问题的研究人员也有资格参与微软的漏洞赏金计划。

微软遵循CVD，系统且负责任地管理安全漏洞的发现、报告和修复。CVD使我们能够与研究人员和更广泛的安全社区合作，优先考虑用户安全和系统完整性。通过遵循协调的方法，我们可以与研究人员合作，确保潜在漏洞在公开之前得到解决，降低利用风险，并培养安全透明的生态系统。