Microsoft telah memasukkan peningkatan tambahan untuk mengatasi kerentanan keamanan SynLapse yang baru-baru ini diungkapkan untuk memenuhi persyaratan isolasi penyewa yang komprehensif di Azure Data Factory dan Azure Synapse Pipelines.
Perlindungan terbaru termasuk memindahkan runtime integrasi bersama ke instans ephemeral kotak pasir dan menggunakan token yang dicakup untuk mencegah musuh menggunakan sertifikat klien untuk mengakses informasi penyewa lain.
“Ini berarti bahwa jika penyerang dapat mengeksekusi kode pada runtime integrasi, kode itu tidak pernah dibagikan di antara dua penyewa yang berbeda, jadi tidak ada data sensitif yang dalam bahaya,” kata Orca Security dalam laporan teknis yang merinci kelemahannya.
Masalah dengan tingkat keparahan tinggi, dilacak sebagai CVE-2022-29972 (skor CVSS: 7,8) dan diungkapkan awal bulan lalu, dapat memungkinkan penyerang melakukan eksekusi perintah jarak jauh dan mendapatkan akses ke lingkungan cloud klien Azure lainnya.
Awalnya dilaporkan oleh perusahaan keamanan cloud pada 4 Januari 2022, SynLapse tidak sepenuhnya ditambal hingga 15 April, sedikit lebih dari 120 hari setelah pengungkapan awal dan dua perbaikan sebelumnya yang digunakan oleh Microsoft ternyata mudah dilewati.
“SynLapse memungkinkan penyerang untuk mengakses sumber daya Synapse milik pelanggan lain melalui server internal Azure API yang mengelola runtime integrasi,” kata para peneliti.
Selain mengizinkan penyerang untuk mendapatkan kredensial ke akun pelanggan Azure Synapse lainnya, kelemahan tersebut memungkinkan untuk menghindari pemisahan penyewa dan mengeksekusi kode pada mesin pelanggan yang ditargetkan serta mengontrol ruang kerja Synapse dan membocorkan data sensitif ke sumber eksternal lainnya.
Pada intinya, masalah ini berkaitan dengan kasus injeksi perintah yang ditemukan di konektor ODBC Magnitude Simba Amazon Redshift yang digunakan di Azure Synapse Pipelines yang dapat dieksploitasi untuk mencapai eksekusi kode waktu proses integrasi pengguna, atau pada waktu proses integrasi bersama.
Dengan kemampuan ini di tangan, penyerang dapat melanjutkan untuk membuang memori proses yang menangani koneksi eksternal, sehingga membocorkan kredensial ke database, server, dan layanan Azure lainnya.
Lebih memprihatinkan lagi, sertifikat klien yang terkandung dalam runtime integrasi bersama dan digunakan untuk otentikasi ke server manajemen internal dapat digunakan untuk mengakses informasi yang berkaitan dengan akun pelanggan lainnya.
Dalam merangkai bug eksekusi kode jarak jauh dan akses ke sertifikat server kontrol, masalah ini secara efektif membuka pintu untuk eksekusi kode pada runtime integrasi apa pun tanpa mengetahui apa pun kecuali nama ruang kerja Synapse.
“Perlu dicatat bahwa kelemahan keamanan utama bukanlah pada kemampuan untuk mengeksekusi kode di lingkungan bersama, melainkan implikasi dari eksekusi kode tersebut,” catat para peneliti.
“Lebih khusus lagi, fakta bahwa dengan adanya RCE pada waktu proses integrasi bersama, kami dapat menggunakan sertifikat klien yang menyediakan akses ke server API internal yang kuat. Hal ini memungkinkan penyerang untuk mengkompromikan layanan dan mengakses sumber daya pelanggan lain.”