Azure Synapse与Data Factory第三方数据连接器漏洞缓解分析(CVE-2022-29972)

微软披露Azure Synapse管道和Azure Data Factory中使用的第三方ODBC驱动程序存在远程代码执行漏洞,攻击者可跨租户执行命令。文章详细分析漏洞影响范围、微软的缓解措施及客户建议。

第三方数据连接器漏洞在Azure Synapse管道和Azure Data Factory中的缓解(CVE-2022-29972)

摘要

微软最近缓解了Azure Data Factory和Azure Synapse管道中的一个漏洞。该漏洞特定于用于在Azure Synapse管道和Azure Data Factory集成运行时(IR)中连接Amazon Redshift的第三方开放数据库连接(ODBC)驱动程序,并不影响整个Azure Synapse。该漏洞可能允许攻击者在IR基础设施上执行远程命令执行,且不限于单个租户。

微软进行了详细的内部调查以识别任何滥用案例。唯一识别的活动是由报告该漏洞的Orca Security执行的。我们的调查未发现滥用或恶意活动的证据。该漏洞于2022年4月15日得到缓解。

对于托管在Azure云(Azure集成运行时)或启用自动更新的本地托管(自托管集成运行时)的Azure Data Factory或Azure Synapse管道客户,无需采取任何行动。未启用自动更新的自托管IR客户需要采取行动以保护其部署。具有此配置的客户已通过Azure服务健康警报(跟踪ID:MLC3-LD0)收到通知并提供指导;但是,其他信息可以在下面的“客户建议和额外支持”部分找到。启用自动更新的客户无需采取额外行动。

以下部分更详细地解释了相关服务和组件的架构背景、漏洞的一些高级技术细节、微软为缓解问题所采取的步骤,以及客户的任何后续步骤或建议。

背景

Azure Data Factory是一种Microsoft云提取转换加载(ETL)服务,支持数据集成和数据转换。Azure Data Factory可作为独立服务使用,也可作为Azure Synapse管道提供。

使用Azure Data Factory或Azure Synapse管道的客户可以在其工厂和/或工作区中创建集成运行时(IR),以允许跨不同网络环境进行数据集成。Azure Synapse管道可用于将来自各种源的数据集成到Synapse Analytics工作区。这些管道还支持连接器,允许跨不同数据存储(包括第三方产品)集成数据。Azure Data Factory和Azure Synapse管道目前内置了许多到不同数据源的数据连接器。

使用Azure Synapse管道的IR可以托管在Azure云中(通过Azure Data Factory集成运行时)或本地托管(自托管集成运行时)。云托管的Azure IR还可以配置托管虚拟网络(VNet),并将使用私有端点连接到支持的数据存储,这可以提供额外的网络隔离层。

作为托管模型的高级架构概述:

  • Azure IR(带托管虚拟网络):带有托管VNet的云托管Azure IR在VNet后面提供专用容器和动态池,不在多个客户之间共享。
  • Azure IR(无托管虚拟网络):云托管Azure IR在底层计算资源的共享池中执行管道活动。这允许多个客户利用此池中的资源,并在运行时动态扩展节点。
  • 自托管IR(SHIR):由于SHIR需要本地或客户提供的虚拟机来执行任务,SHIR设计上专用于单个客户。SHIR可以从云或其他本地数据源拉取任务。

该漏洞特定于用于在Azure Synapse管道和Azure Data Factory集成运行时(IR)中连接Amazon Redshift的第三方ODBC连接器。

漏洞影响

Amazon Redshift的第三方ODBC连接器中的漏洞允许在Synapse管道中运行作业的用户执行远程命令。利用此漏洞的用户可能随后获取Azure Data Factory服务证书并在另一个租户的Azure Data Factory集成运行时中执行命令。这些证书特定于Azure Data Factory和Synapse管道,并不涉及Azure Synapse的其余部分。

调查和缓解

Orca Security于2022年1月4日向微软报告了一个漏洞,此时我们开始了内部调查以确定影响范围并保护客户。我们的调查和缓解时间线可总结如下:

  • 1月4日 - Orca向微软报告问题
  • 3月2日 - 微软完成初始热修复的推出
  • 3月11日 - 微软识别并通知受研究人员活动影响的客户
  • 3月30日 - Orca通知微软同一漏洞的额外攻击路径
  • 4月13日 - Orca通知微软同一漏洞的第二个攻击路径
  • 4月15日 - 为新报告的两个攻击路径部署额外修复以及应用额外的深度防御措施

微软于2022年4月15日通过在所有IR类型上采取以下步骤完全缓解了此漏洞的攻击路径:

  • 缓解受影响驱动程序中的远程命令执行
  • 降低Azure集成运行时中的作业执行权限
  • 添加额外验证层作为深度防御以强化服务
  • 在轮换和撤销之前,遏制并密切监控后端证书以应对对手活动和支点
  • 轮换和撤销由发现者访问的后端服务证书和其他Microsoft凭据
  • 微软通过转向使用活动隔离的时间限制令牌而不是证书,为后端API添加了额外的深度防御
  • 与第三方ODBC驱动程序提供商合作,对用于连接Amazon Redshift的驱动程序进行根本原因修复
  • 审查第三方驱动程序供应商代码并运行我们的安全工具以确保其符合我们的安全标准

检测

虽然我们的调查未发现除Orca报告的活动外,Microsoft产品或服务滥用或来自此漏洞的恶意活动的证据,但我们分享以下Microsoft Defender for Endpoint和Microsoft Defender Antivirus检测以保护客户。

使用自动更新的客户无需采取额外行动。管理更新的企业客户应选择检测版本1.363.1065.0或更高版本,并在其环境中部署。

Microsoft Defender Antivirus版本1.363.1065.0或更高版本检测与此威胁相关的组件和行为,并通过以下检测保护客户:

  • Behavior:Win32/SuspAzureRequest.A
  • Behavior:Win32/SuspAzureRequest.B
  • Behavior:Win32/SuspAzureRequest.C
  • Behavior:Win32/LaunchingSuspCMD.B

Microsoft Defender for Endpoint在Microsoft 365 Defender门户中具有以下标题的警报可能指示您网络上的威胁活动:

  • 可疑PowerShell命令行。
  • 可能的Azure Synapse集成运行时利用。

Microsoft Sentinel客户可以使用基于Microsoft Defender for Endpoint签名的以下查询来识别利用此漏洞的可疑行为。

  • Microsoft Defender for Endpoint (MDE) signatures for Azure Synapse pipelines and Azure Data Factory:此查询查找与在带托管VNet或SHIR的Azure IR上远程命令执行尝试相关的Microsoft Defender for Endpoint检测。在Microsoft Sentinel中,SecurityAlerts表包括受影响设备的名称。此外,此查询连接DeviceInfo表以连接其他信息,如设备组、IP地址、登录用户等,允许使用Microsoft Sentinel的分析师拥有与警报相关的更多上下文。
  • Possible command injection attempts against Azure Integration Runtimes:此狩猎查询查找通过易受攻击的第三方驱动程序对带托管VNet或SHIR进程的Azure IR的潜在命令注入尝试,以及基于进程执行和命令行活动的后期利用活动。

客户建议和额外支持

为确保您的资源收到必要的安全更新,使用Azure Data Factory且关闭自动更新的自托管IR(SHIR)的客户必须将其SHIR更新到最新版本(5.17.8154.2)。客户可以在此处下载最新版本。这些客户还通过Azure门户中的服务健康(跟踪ID:MLC3-LD0)收到此指导的通知。

使用启用自动更新的SHIR或使用Azure IR的客户无需采取进一步行动。

客户可以在发行说明中阅读有关为此漏洞对自托管IR所做的更新的更多信息。

为获得额外保护,微软建议配置带有托管虚拟网络的Synapse工作区,这提供更好的计算和网络隔离。使用Azure Data Factory的客户可以启用带有托管虚拟网络的Azure集成运行时。微软正在不断采取措施应用额外的保障措施以强化Azure Data Factory和Azure Synapse Analytics平台并保护我们的客户。

保护客户的持续努力

虽然微软对Orca Security报告的漏洞应用了必要的缓解措施,但我们继续投入工程努力,以确保在云中运行的Azure Data Factory和Synapse管道工作负载的客户安全可靠。我们的持续努力包括:

  • 继续与我们的第三方驱动程序供应商合作,确保所有更新符合我们的安全标准;与我们的第三方供应商分享我们的安全工具和技术以确保安全足迹
  • 确保云进程和工作负载,包括第三方数据连接器,在推进跨租户隔离的零信任架构中运行。具体来说,我们正在实现第三方连接器执行的虚拟化以实现每租户隔离。
  • 主动监控利用第三方连接器的Microsoft服务的更广泛足迹。
  • 持续投资于监控和检测,以实现主动警报、通知和加速缓解。

请访问我们的安全公告以获取有关我们解决此问题的持续努力的更多细节:ADV220001。

我们想感谢Orca Security报告此漏洞。我们感谢他们持续的合作和协作。我们鼓励所有研究人员与供应商在协调漏洞披露(CVD)下合作,并遵守Microsoft Bug Bounty计划中的条款和条件,以避免在进行安全研究时影响客户数据。

额外资源

  • 此CVE的详细信息:CVE-2022-29972
  • Microsoft安全公告 – Azure Data Factory和Azure Synapse管道的深度防御措施:ADV220001
  • Orca Security博客

MSRC团队 2022年6月14日 - 博客文章更新以反映在所有IR类型上采取的步骤和致谢。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次