概要

微软最近缓解了Azure Site Recovery (ASR) 中的一系列漏洞，并于7月12日（美国时间）作为定期月度安全更新周期的一部分发布了修复程序。这些漏洞影响所有使用VMware/物理到Azure场景的ASR本地客户，已在最新版本ASR 9.49中修复。建议客户访问 https://aka.ms/upgrade-to-9.49 更新到最新版本以保持安全性。

微软确认这些仅影响复制功能的漏洞未被利用，不影响客户工作负载。由于该产品在本地提供，因此不存在跨租户数据泄露的风险。

此外，这些CVE要求攻击者已获取ASR本地环境中的合法凭据。如果您认为受到此系列漏洞的影响，请通过 aka.ms/azsupt 提交支持案例获取帮助。

有关CVE的详细信息，请参阅下面的“其他参考”部分。

漏洞影响

今日修复包含以下类型的CVE：

• SQL注入 (SQLi)：修复的CVE主要类别是可能导致权限提升 (EoP) 的SQLi漏洞。利用这些漏洞需要攻击者拥有受ASR保护的VM的管理员凭据。我们持续改进输入清理，以加强ASR中的类似向量。

• 权限提升 (EoP)：第二类别包括与SQLi无关的EoP向量，允许普通用户提升权限。其中之一是CVE-2022-33675，由我们的研究合作伙伴之一披露，特别影响ASR进程服务器组件。该组件仅在VMWare到Azure的灾难恢复场景中使用。利用此特定漏洞需要攻击者首先拥有运行ASR进程服务器的系统的一般用户凭据。

• 远程代码执行 (RCE)：第三类别是影响ASR设备的RCE漏洞。利用这些漏洞需要攻击者在特定条件下拥有受ASR保护的VM的管理员凭据，以在ASR设备上执行任意代码。

客户应对措施

总结来说，这些漏洞影响所有使用VMware/物理到Azure场景的ASR本地客户，已在最新版本ASR 9.49中修复。为保持安全状态，建议访问 https://aka.ms/upgrade-to-9.49 更新到最新版本。

微软感谢研究社区报告这些漏洞并与微软安全响应中心 (MSRC) 合作，致力于协调漏洞披露 (CVD)，以保护客户安全。

其他参考

• 访问 https://aka.ms/upgrade-to-9.49 升级到ASR 9.49。
• 有关CVE的详细信息，请参阅安全更新指南。
• 有关安全修复的详细信息，请参阅发行说明。
• 如有疑问，请通过Azure门户 aka.ms/azsupt 提交支持案例。