Microsoft toma meses para arreglar un error crítico en Azure Sypnapse

Microsoft no corrigió adecuadamente un fallo crítico en Azure Synapse durante meses, según un informe de Orca Security.

La vulnerabilidad, apodada "SynLapse", fue descubierta por el investigador de Orca Security Tzah Pahima, quien descubrió que la insuficiente separación de inquilinos en el servicio en la nube permitía a partes no autorizadas obtener las credenciales de otros clientes de Synapse y ejecutar código malicioso en sus máquinas virtuales

SynLapse comenzó con el descubrimiento por parte de Pahima de un fallo de ejecución remota de código, rastreado como CVE-2022-29972, en un conector de datos de Azure de terceros llamado Magnitude Simba Redshift. En concreto, se utiliza para conectar Amazon Redshift con el servicio de análisis Azure Synapse y Azure Data Factory.

Pahima utilizó la vulnerabilidad de Magnitude Simba para acceder al servidor de gestión de Azure Synapse y obtener claves privadas y certificados; también descubrió que podía obtener acceso adicional a los clientes de Synapse debido a un aislamiento inadecuado de los inquilinos. Orca informó del fallo a Microsoft a principios de enero y Microsoft notificó a Orca a finales de marzo que la vulnerabilidad estaba solucionada. Sin embargo, Pahima descubrió que el parche podía ser eludido y que los problemas de separación de inquilinos subyacentes estaban presentes.

El 9 de mayo, Avi Shua, director general y cofundador de Orca Security, publicó un aviso de seguridad en el que afirmaba que el esfuerzo inicial de Microsoft por mitigar la vulnerabilidad se había quedado corto.

"Nos decepcionó ver que, aunque la vulnerabilidad específica se solucionó, la separación de inquilinos seguía siendo extremadamente débil, y pudimos demostrar un vector de ataque diferente que también permitía eludir la separación de inquilinos de Synapse el 30 de marzo", escribió Shua.

Además, las claves de servicio de Azure y los certificados obtenidos en el descubrimiento de la vulnerabilidad no habían sido revocados. Microsoft revocó dichos certificados y comunicó a Orca que la vulnerabilidad había sido corregida el 10 de abril, según la entrada del blog. Pero Orca dijo que la solución era solo parcial, y rápidamente se encontró otro vector de ataque.

Microsoft publicó un aviso de seguridad sobre la vulnerabilidad el 9 de mayo –coordinado con el blog de Orca después de que esta última concediera a Microsoft un mes más para divulgarla– en el que se detallaban los parches y las mitigaciones. Sin embargo, Orca volvió a decir que esos esfuerzos eran incompletos y recomendó a los clientes que consideraran su uso del servicio Azure Synapse.

"Desde entonces, Microsoft ha implementado medidas de mitigación adicionales que hacen que la explotación sea mucho más difícil", escribió Shua en el aviso del 9 de mayo. "Desafortunadamente, nuestra investigación nos lleva a creer que la debilidad arquitectónica subyacente todavía está presente".

El post del martes de Orca Security proporcionó los detalles técnicos completos de SynLapse y una línea de tiempo actualizada.

Pahima escribió en este nuevo post que Orca hizo múltiples recomendaciones de mitigación a Microsoft cuando informó del problema inicial. Una de ellas era limitar la separación de los inquilinos moviendo "el tiempo de ejecución de la integración compartida a una máquina virtual efímera con caja de arena", y la otra era limitar el acceso a la API con el fin de implementar el mínimo privilegio.

En junio, escribió el investigador, Microsoft había aplicado estas recomendaciones.

"A principios de junio, Microsoft nos comunicó que había implementado todas las recomendaciones y que Synapse Integration Runtime utilizaba ahora nodos efímeros y tokens de API de bajo privilegio", dijo Pahima. "A la luz de esta información, ahora creemos que Azure Synapse Analytics proporciona suficiente aislamiento del inquilino. Por ello, hemos eliminado las alertas sobre Synapse dentro de la plataforma de seguridad en la nube Orca. Microsoft continúa trabajando en el aislamiento y el endurecimiento adicionales."

Microsoft aconsejó a los clientes de Azure Synapse y Data Factory que actualizaran sus instancias si ejecutaban una autoalojada; los clientes con actualizaciones automáticas activadas no necesitan tomar medidas adicionales.

Shua dijo a nuestro sitio hermano SearchSecurity que no estaba seguro de por qué Microsoft necesitaba un plazo tan largo para solucionar los problemas relacionados con SynLapse.

"No podemos hablar de por qué Microsoft tardó tanto tiempo en solucionar el problema o para los repetidos parches, además de que estaban tratando de arreglar las vulnerabilidades en lugar de la causa raíz y el problema de aislamiento de los inquilinos a nivel de la infraestructura", dijo. "Esa es una pregunta mejor para Microsoft".

Un portavoz de Microsoft se negó a proporcionar un comentario para SearchSecurity más allá de enlazar con el aviso del 9 de mayo.

La investigación de Orca siguió a informes similares de Tenable, que publicó hallazgos sobre dos vulnerabilidades completamente diferentes de Azure Synapse y criticó a Microsoft por respuestas inadecuadas a las fallas. En concreto, Tenable criticó a Microsoft por restar importancia a la gravedad de las vulnerabilidades y por parcharlas silenciosamente sin revelar los problemas a los clientes.

Alexander Culafi es un escritor, periodista y podcaster con sede en Boston.