Technische Details für die in Microsoft Azure gemeldete RCE-Schwachstelle „SynLapse“ veröffentlicht

  • Microsoft hat zusätzliche Verbesserungen eingebaut, um die kürzlich bekannt gewordene SynLapse-Sicherheitslücke zu beheben, damit die Anforderungen an eine umfassende Tenant-Isolierung in Azure Data Factory und Azure Synapse Pipelines erfüllt werden.

    Zu den neuesten Schutzmaßnahmen gehören die Verlagerung der gemeinsam genutzten Integrationslaufzeiten in ephemere Instanzen mit Sandboxing und die Verwendung von skalierten Token, um zu verhindern, dass Angreifer ein Client-Zertifikat verwenden, um auf die Informationen anderer Tenants zuzugreifen.

    „Das bedeutet, dass, wenn ein Angreifer Code auf der Integrationslaufzeit ausführen könnte, diese niemals zwischen zwei verschiedenen Tenants geteilt wird, so dass keine sensiblen Daten in Gefahr sind“, so Orca Security in einem technischen Bericht, in dem der Fehler beschrieben wird.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjaBbYTALewJvxPx8cnzv0FMFvygJ4ym5US2q-Uxw_N9KSMl8z0Z7pPOeXOEHgnJ9u00oLe7QZR55XMcwv60hQ_dIuT9MTSCTeu-C3cUe-RgpBF3_hTmoXh7ESgmtUaVloM9dS5jXLtkOLVeYSBrepZsVYuf3lxIAlCR4TsZhB-hFm_HGHwjkDsk9teXQ/s1600/Jira-ads.png]

    Die hochgradig gefährliche Sicherheitslücke, die als CVE-2022-29972 (CVSS-Score: 7.8) verfolgt und Anfang letzten Monats bekannt gegeben wurde, hätte es einem Angreifer ermöglichen können, Remote-Befehle auszuführen und Zugriff auf die Cloud-Umgebung eines anderen Azure-Kunden zu erhalten.

    Ursprünglich wurde SynLapse von dem Cloud-Sicherheitsunternehmen am 4. Januar 2022 gemeldet, aber erst am 15. April, also etwas mehr als 120 Tage nach der ersten Veröffentlichung, vollständig gepatcht, und es wurde festgestellt, dass zwei frühere von Microsoft bereitgestellte Korrekturen leicht umgangen werden konnten.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhoVjZeKTjC_e1Mdw015KDlmBsYWsCPl9h3uQ9P84DqvB0ldWps9RRVANyU8CEacGWxjK5SHQq_RVGomPg0mXckET4GJ-M5jxK3EZIWA_TaoIJ8ATlZv5mk-gSkVmZALohtlwdsQZh6ulEwh3-rgHeg-HcZ3KAA10KszaEijV0QWwkPHLEunVVK766I/s728-e1000/ms.jpg]

    „SynLapse ermöglichte es Angreifern, über einen internen Azure-API-Server, der die Integrationslaufzeiten verwaltet, auf Synapse-Ressourcen zuzugreifen, die anderen Kunden gehören“, so die Forscher.

    Die Schwachstelle ermöglichte es einem Angreifer nicht nur, Anmeldeinformationen für andere Azure-Synapse-Kundenkonten zu erlangen, sondern auch, die Mandantentrennung zu umgehen und Code auf gezielten Kundenrechnern auszuführen sowie Synapse-Arbeitsbereiche zu kontrollieren und sensible Daten an andere externe Quellen weiterzuleiten.

    Im Kern bezieht sich das Problem auf einen Fall von Befehlsinjektion, der im Magnitude Simba Amazon Redshift ODBC-Connector gefunden wurde, der in Azure Synapse Pipelines verwendet wird und ausgenutzt werden konnte, um die Ausführung von Code auf der Integrationslaufzeit eines Benutzers oder auf der gemeinsamen Integrationslaufzeit zu erreichen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Mit diesen Fähigkeiten in der Hand hätte ein Angreifer den Speicher des Prozesses, der externe Verbindungen verarbeitet, auslesen können und so Zugangsdaten zu Datenbanken, Servern und anderen Azure-Diensten erlangen können.

    Noch besorgniserregender ist, dass ein Client-Zertifikat, das in der gemeinsam genutzten Integrationslaufzeit enthalten ist und für die Authentifizierung bei einem internen Verwaltungsserver verwendet wird, als Waffe eingesetzt werden könnte, um auf Informationen zuzugreifen, die andere Kundenkonten betreffen.

    Durch die Verknüpfung des Fehlers bei der Remotecodeausführung mit dem Zugriff auf das Zertifikat des Kontrollservers öffnete das Problem effektiv die Tür zur Codeausführung auf jeder beliebigen Integrationslaufzeit, ohne dass etwas anderes als der Name eines Synapse-Arbeitsbereichs bekannt war.

    „Es ist erwähnenswert, dass die größte Sicherheitslücke nicht so sehr die Fähigkeit zur Ausführung von Code in einer gemeinsam genutzten Umgebung war, sondern eher die Auswirkungen einer solchen Codeausführung“, so die Forscher.

    „Genauer gesagt, die Tatsache, dass ein RCE auf der gemeinsam genutzten Integrations-Laufzeitumgebung es uns ermöglichte, ein Client-Zertifikat zu verwenden, das Zugriff auf einen leistungsstarken, internen API-Server bietet. Dies ermöglichte es einem Angreifer, den Dienst zu kompromittieren und auf die Ressourcen anderer Kunden zuzugreifen.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com