漏洞概述

微软近期缓解了Azure Data Factory和Azure Synapse管道中一个第三方Open Database Connectivity（ODBC）驱动程序漏洞（CVE-2022-29972）。该漏洞仅影响用于连接Amazon Redshift的ODBC驱动程序，不涉及Azure Synapse整体服务。攻击者可能通过此漏洞在集成运行时（IR）基础设施上执行跨租户远程命令。

服务架构背景

Azure Data Factory是微软云端的提取-转换-加载（ETL）服务，支持数据集成与转换。Azure Synapse管道同样提供此功能。用户可通过创建集成运行时（IR）实现跨网络环境的数据集成：

• Azure IR（托管虚拟网络）：在VNet后提供专用容器和动态池，不跨客户共享
• Azure IR（无托管虚拟网络）：在共享计算资源池中执行管道活动，支持多租户动态扩展
• 自托管IR（SHIR）：通过客户本地虚拟机执行任务，按设计为单租户专用

漏洞影响

该漏洞允许Synapse管道作业执行远程命令。成功利用者可获取Azure Data Factory服务证书，并在其他租户的IR中执行命令。这些证书仅限Data Factory和Synapse管道使用，不影响Azure Synapse其他组件。

时间线与缓解措施

时间线：

• 1月4日：Orca Security报告漏洞
• 3月2日：微软完成初始热修复部署
• 4月15日：全面修复所有攻击路径

缓解措施：

1. 修复受影响驱动程序的远程命令执行漏洞
2. 降低Azure IR作业执行权限
3. 增加多层验证防御机制
4. 轮换并撤销被访问的后端服务证书
5. 将后端API认证方式改为基于活动的限时令牌
6. 与第三方驱动供应商合作修复根本原因

检测方案

提供以下检测标识供企业防护：

• Microsoft Defender Antivirus（版本≥1.363.1065.0）：
  • Behavior:Win32/SuspAzureRequest.A/B/C
  • Behavior:Win32/LaunchingSuspCMD.B
• Microsoft Defender for Endpoint警报：
  • “Suspicious PowerShell Command Line”
  • “Possible Azure Synapse Integration Runtime exploitation”
• Microsoft Sentinel查询：
  • MDE签名检测远程命令执行尝试
  • 进程执行和命令行活动监测注入尝试

客户行动建议

• 自托管IR用户（关闭自动更新）：必须手动更新至5.17.8154.2版本（下载链接）
• 自动更新用户：无需操作
• 增强防护：推荐配置托管虚拟网络实现计算和网络隔离

持续保护计划

微软持续投入以下安全措施：

1. 与第三方驱动供应商协同确保安全标准
2. 实施零信任架构实现跨租户隔离
3. 对第三方连接器执行过程进行虚拟化
4. 加强监控和检测能力

资源链接

• CVE-2022-29972详情
• 微软安全公告ADV220001
• Orca安全博客