概要

2024年5月9日（美国时间），微软针对安全研究公司Wiz和Tenable最初发现的Azure机器学习（AML）服务中的多个漏洞进行了处理。这些漏洞包括服务器端请求伪造（SSRF）和路径遍历漏洞，可能带来信息泄露和服务中断（DOS）的风险。微软进行了彻底的内部调查以识别这些漏洞是否被用于客户资源的滥用或侵害，但调查未发现任何滥用或侵害的证据。

我们遵循对信任和透明度的承诺披露这些漏洞。此更新仅用于客户通知，无需客户采取任何措施。

漏洞

微软于2024年4月收到来自Wiz和Tenable的SSRF漏洞报告。工程团队迅速响应，在2024年5月9日（美国时间）之前部署了缓解措施。

这些漏洞可能导致包含内部IP的HTTP客户端发出恶意请求。内部IP可能访问AML内部的Kubernetes基础设施，暴露后端元数据（如网络和Pod信息），并可能用于干扰AML服务的运行。尽管已有安全措施，但漏洞绕过了特定验证，表明需要加强安全防护。

缓解

SSRF攻击向量于2024年5月9日（美国时间）通过实施严格的客户端输入和HTTP重定向验证被有效阻断。作为持续安全努力的一部分，我们还将评估所有服务间的网络流量，并对网络内通信应用更严格的控制。此外，我们正与合作伙伴的开源软件团队广泛合作，通过增加多层防御，使恶意行为难以在没有额外元数据的情况下请求，从而帮助其他用户。

总结

我们感谢与Wiz和Tenable的合作机会，并鼓励所有研究者在协调漏洞披露（CVD）框架下与供应商合作，在安全调查期间遵守渗透测试参与规则，避免影响客户数据。向Microsoft安全响应中心报告安全问题的研究者可以参与微软的漏洞奖励计划。

微软遵循协调漏洞披露（CVD），系统且负责任地管理安全漏洞的检测、报告和修复。CVD使我们能够以优先考虑用户安全和系统完整性的方式与研究者及更广泛的安全社区合作。通过遵循协调努力，我们可以与研究者合作，在潜在漏洞公开前进行处理，减轻滥用风险，并培育安全、透明的生态系统。