Detalles técnicos publicados para la vulnerabilidad RCE ‘SynLapse’ informada en Microsoft Azure

Microsoft ha incorporado mejoras adicionales para abordar la vulnerabilidad de seguridad de SynLapse revelada recientemente para cumplir con los requisitos integrales de aislamiento de inquilinos en Azure Data Factory y Azure Synapse Pipelines.

Las medidas de seguridad más recientes incluyen mover los tiempos de ejecución de integración compartidos a instancias efímeras en espacio aislado y usar tokens de alcance para evitar que los adversarios usen un certificado de cliente para acceder a la información de otros inquilinos.

"Esto significa que si un atacante puede ejecutar código en el tiempo de ejecución de integración , nunca se comparte entre dos inquilinos diferentes, por lo que no hay datos confidenciales en peligro", dijo Orca Security en un informe técnico que detalla la falla.

El problema de alta gravedad, rastreado como CVE-2022-29972 (puntuación CVSS: 7,8) y divulgado a principios del mes pasado, podría haber permitido que un atacante realizara la ejecución remota de comandos y obtuviera acceso al entorno de nube de otro cliente de Azure.

Originalmente informado por la compañía de seguridad en la nube el 4 de enero de 2022, SynLapse no se parchó por completo hasta el 15 de abril, un poco más de 120 días después de la divulgación inicial y se descubrió que dos correcciones anteriores implementadas por Microsoft se eludían fácilmente.

ms

"SynLapse permitió a los atacantes acceder a los recursos de Synapse que pertenecen a otros clientes a través de un servidor API interno de Azure que administra los tiempos de ejecución de integración", dijeron los investigadores.

Además de permitir que un atacante obtenga credenciales para otras cuentas de clientes de Azure Synapse, la falla hizo posible eludir la separación de inquilinos y ejecutar código en las máquinas de los clientes objetivo, así como controlar los espacios de trabajo de Synapse y filtrar datos confidenciales a otras fuentes externas.

En esencia, el problema se relaciona con un caso de inyección de comando encontrado en el conector ODBC Magnitude Simba Amazon Redshift utilizado en Azure Synapse Pipelines que podría explotarse para lograr la ejecución de código en el tiempo de ejecución de integración de un usuario o en el tiempo de ejecución de integración compartido.

Con estas capacidades en la mano, un atacante podría haber procedido a volcar la memoria del proceso que maneja las conexiones externas, filtrando así las credenciales a las bases de datos, servidores y otros servicios de Azure.

Aún más preocupante, un certificado de cliente contenido en el tiempo de ejecución de integración compartido y utilizado para la autenticación en un servidor de administración interno podría usarse como arma para acceder a información perteneciente a otras cuentas de clientes.

Al vincular el error de ejecución de código remoto y el acceso al certificado del servidor de control, el problema abrió efectivamente la puerta a la ejecución de código en cualquier tiempo de ejecución de integración sin saber nada más que el nombre de un espacio de trabajo de Synapse.

"Vale la pena señalar que la principal falla de seguridad no fue tanto la capacidad de ejecutar código en un entorno compartido, sino las implicaciones de dicha ejecución de código", señalaron los investigadores.

"Más específicamente, el hecho de que, dado un RCE en el tiempo de ejecución de integración compartido, nos permitiera usar un certificado de cliente que brinda acceso a un potente servidor API interno. Esto permitió a un atacante comprometer el servicio y acceder a los recursos de otros clientes".

 

Fuente: Thehackernews.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies