[ad_1]
A Microsoft lançou atualizações de segurança para resolver uma falha de segurança que afeta os pipelines do Azure Synapse e Azure Data Factory que podem permitir que invasores executem comandos remotos na infraestrutura do Integration Runtime.
Os pipelines do Azure Synapse e do Azure Data Factory usam a infraestrutura de computação do Integration Runtime (IR) para fornecer recursos de integração de dados em ambientes de rede (por exemplo, fluxo de dados, expedição de atividades, serviços de integração de execução de pacotes do SQL Server (SSIS)).
A vulnerabilidade (rastreada como CVE-2022-29972 e relatada pela Orca Security) foi mitigada em 15 de abril, sem evidências de exploração antes do lançamento das correções.
“A vulnerabilidade foi encontrada no conector de dados ODBC de terceiros usado para se conectar ao Amazon Redshift, no Integration Runtime (IR) no Azure Synapse Pipelines e no Azure Data Factory”, explicou a Microsoft em um comunicado de segurança publicado hoje.
“A vulnerabilidade poderia ter permitido que um invasor executasse comandos remotos na infraestrutura de IR sem se limitar a um único locatário”, acrescentou a empresa em uma postagem no blog do Microsoft Security Response Center (MSRC).
A exploração bem-sucedida desse conector ODBC para a falha do Amazon Redshift pode permitir que invasores mal-intencionados executem trabalhos em um pipeline Synapse e executem comandos remotos.
No próximo estágio do ataque, eles podem roubar o certificado de serviço do Azure Data Factory para executar comandos nos Azure Data Factory Integration Runtimes de outro locatário.
como atenuar
A Microsoft diz que os clientes que usam a nuvem do Azure (Azure Integration Runtime) ou hospedam seu próprio ambiente local (Self-Hosted Integration Runtime) com atualizações automáticas ativadas não precisam tomar nenhuma medida adicional para mitigar essa falha.
Os clientes de IR auto-hospedados que não têm a atualização automática ativada já foram notificados para proteger suas implantações por meio dos Alertas de integridade do serviço do Azure (ID: MLC3-LD0).
A empresa os aconselha a atualizar seus IRs auto-hospedados para a versão mais recente (5.17.8154.2) disponível no Centro de Download da Microsoft.
Essas atualizações podem ser instaladas em sistemas de 64 bits com o .NET Framework 4.7.2 ou superior executando plataformas de servidor e cliente, incluindo as versões mais recentes (Windows 11 e Windows Server 2022).
“Para proteção adicional, a Microsoft recomenda configurar os espaços de trabalho Synapse com uma rede virtual gerenciada que forneça melhor computação e isolamento de rede”, acrescentou Redmond.
“Os clientes que usam o Azure Data Factory podem habilitar os tempos de execução de integração do Azure com uma rede virtual gerenciada.”
Mais informações sobre como mitigar totalmente o CVE-2022-299 podem ser encontradas na seção “Recomendações do cliente e suporte adicional” da postagem do blog do MSRC.
Cronograma de divulgação:
- 4 de janeiro – Orca relatou o problema à Microsoft
- 2 de março: a Microsoft concluiu a implantação inicial do patch
- 11 de março – A Microsoft identificou e notificou o cliente afetado pela atividade do investigador
- 30 de março – Orca notificou a Microsoft sobre um caminho de ataque adicional para a mesma vulnerabilidade
- 13 de abril – Orca notificou a Microsoft de um segundo caminho de ataque para a mesma vulnerabilidade
- 15 de abril – Correções adicionais para os dois caminhos de ataque relatados recentemente, bem como medidas adicionais de defesa em profundidade aplicadas
Em março, a Microsoft disse que corrigiu outra vulnerabilidade de segurança do Azure em dezembro (também relatada pela Orca Security) que permitia que invasores assumissem o controle total dos dados de outros clientes do Azure, abusando de um bug do serviço de automação do Azure chamado AutoWarp.
No mês passado, a empresa abordou uma cadeia de bugs críticos no Banco de Dados do Azure para Servidor Flexível PostgreSQL (conhecido como ExtraReplica) que permitia que usuários mal-intencionados obtivessem acesso aos bancos de dados de outros clientes após ignorar a autenticação.
Outras falhas do Microsoft Azure corrigidas por Redmond no ano passado incluem as encontradas no Azure Cosmos DB, o agente de software Open Management Infrastructure (OMI) e o Azure App Service.
[ad_2]