概要

微软采用预防性方法持续调查防御措施，寻找漏洞，并探索保护客户的新创新方法。安全研究人员是这项工作的重要组成部分，在网络安全攻击数量和复杂性持续增加的世界中，协作伙伴关系至关重要。微软高度认可安全研究社区在帮助保护微软产品和服务以及更广泛生态系统安全方面所发挥的作用。

Orca Security也是该研究社区的一员。他们基于协同漏洞披露（CVD）机制，于2022年6月1日（美国时间）向微软报告了影响Azure Synapse Spark的特权提升（EoP）漏洞。微软于2022年6月18日（美国时间）修复了此EoP漏洞。客户无需采取任何行动。

漏洞详情

Azure Synapse曾使用以管理员权限运行的名为filesharemount.sh的脚本*，向用户提供将Azure文件共享挂载到Apache Spark池的功能。该脚本将文件共享挂载到/synfs*目录。脚本存在竞争条件，成功利用后，用户可执行chown命令更改包括filesharemount.sh自身在内的任意目录的所有权。这使得用户能够以root权限执行额外代码。

EoP行为并非设计意图，但影响仅限于用户的Spark池内。此外，未允许对其他客户工作负载或敏感密钥的未授权访问。

微软的应对

Synapse Spark中的此EoP通过以下方式得到缓解：

• 移除将Azure文件共享无限期挂载到Spark池的功能，并重新设计了更安全的替代方案。
• 更新了Synapse中使用文件挂载/卸载API方法的文档，提供了将存储安全挂载到Spark池的替代方法。

与所有产品和服务一样，我们从一开始就优先考虑安全强化。对于Synapse Spark，我们实施了以下措施：

• 实现多层防御的附加层
• 改进检测功能，向安全团队告警异常活动，包括：
  • 交互式shell提升
  • 数据渗出
  • 异常API调用
  • 特定命令行工具的使用
• 对Synapse Spark用于枚举攻击路径可能性的关键组件进行变体分析
• 执行主动狩猎以寻找额外漏洞利用，并测试安全边界

进一步强化Synapse Spark是加强产品安全性、保护客户的持续努力的一个例子。有关Azure安全产品的详细信息，请参阅Azure安全目录。

客户指南

再次强调，客户无需采取任何行动。内部调查发现，这是用户Spark池内的本地特权提升，不会导致跨租户场景或泄露敏感密钥或客户数据。

感谢Orca公司报告此漏洞，并与微软安全响应中心（MSRC）合作，通过协同漏洞披露（CVD）机制帮助保护微软客户的安全。有关漏洞赏金计划的详细信息，请访问微软漏洞赏金计划页面，查看计划条款，并参考最近的博客文章“一年漏洞赏金计划回顾”。

其他参考资料

如有疑问，请通过Azure门户aka.ms/azsupt开设支持案例。

时间线（美国时间）：