{"id":267318,"date":"2022-06-19T00:34:00","date_gmt":"2022-06-18T22:34:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=267318"},"modified":"2022-06-18T23:36:49","modified_gmt":"2022-06-18T21:36:49","slug":"vorwurf-microsoft-patcht-azure-synapse-pwnalytics-schwachstelle-zu-langsam-und-gefhrdet-die-cloud-sicherheit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/19\/vorwurf-microsoft-patcht-azure-synapse-pwnalytics-schwachstelle-zu-langsam-und-gefhrdet-die-cloud-sicherheit\/","title":{"rendered":"Vorwurf: Microsoft patcht Azure (Synapse Pwnalytics-Schwachstelle) zu langsam und gefährdet die Cloud-Sicherheit"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Man h\u00f6rt ja gelegentlich \"wir migrieren in die Cloud, zu Microsoft Azure, Office 365 etc., da stellt Microsoft sicher, dass gepatcht wird und Schwachstellen zeitnah geschlossen werden\". Cloud-Nutzer sind aber auf Gedeih und Verderb auf den Goodwill und die F\u00e4higkeiten Microsofts angewiesen. Und in Bezug auf zeitnahes Patchen von Schwachstellen sieht es mitunter d\u00fcster aus, wie ein aktueller Fall zur Synapse Pwnalytics-Schwachstelle zeigt, den ich hier mal aufbereite.<\/p>\n

<\/p>\n

\"\"Dass es mit dem Berichten von Schwachstellen oft h\u00e4ngt und Leute bei Bug-Bounty-Pr\u00e4mien oft hinten herunter fallen, ist bei Sicherheitsexperten bekannt. Folgender Tweet<\/a> legt nahe, dass Firmen Bug-Bounty-Programme als Maulkorb missbrauchen, um Sicherheitsl\u00fccken nicht \u00f6ffentlich werden zu lassen, diese aber auch nicht schlie\u00dfen.<\/p>\n

<\/a><\/p>\n

Dort wurde ein Sicherheitsforscher gen\u00f6tigt, seinen Github-Post \u00fcber eine Schwachstelle wieder zu l\u00f6schen, weil alle Bug Bounty-Einsendungen vertraulich sind, bis eine Freigabe erfolgt. Aber auch bei Microsoft l\u00e4uft nicht alles rund – wie ich aus diversen Mails wei\u00df, bei denen ich auf cc gesetzt wurde, wenn Leute Schwachstellen berichteten.<\/p>\n

Der Azure Synapse Pwnalytics-Fall<\/h2>\n

Zum Juni 2022-Patchday am 14.6.2022 hat Microsoft auch Schwachstellen in Microsoft Azure geschlossen. Sicherheitsforscher Tzah Pahima hat das Ganze kurz auf Twitter<\/a> aufgegriffen in mehreren Tweets aufgegriffen.<\/p>\n

<\/a><\/p>\n

Er war in der Lage, auf die Passw\u00f6rter von Tausenden von Unternehmen auf Azure zugreifen und Code auf ihren VMs ausf\u00fchren. Dazu geh\u00f6rt auch der Zugriff auf Microsofts eigene Anmeldedaten.<\/p>\n

Tenable kritisiert Vorgehen Microsofts<\/h2>\n

Sicherheitsanbieter Tenable hat den Fall nochmals aufgegriffen und kritisiert die z\u00e4he Behebung zweier schwerwiegender Sicherheitsschwachstellen in Microsofts Cloud-Umgebung (Microsoft Azure Synapse Pwnalytics). Denn seit dem 10. M\u00e4rz hat Tenable Research versucht, mit Microsoft zusammenzuarbeiten, um zwei schwerwiegende Schwachstellen in der Infrastruktur von Azure Synapse Analytics zu beheben.<\/p>\n

Was ist Synapse Analytics?<\/h3>\n

Synapse Analytics<\/a> ist eine Plattform, die f\u00fcr maschinelles Lernen, Datenaggregation und andere Rechenanwendungen verwendet wird. Der Dienst ist derzeit in Microsofts Azure Bug Bounty-Programm unter den \u201eHigh-Impact\"-Szenarien aufgef\u00fchrt. Microsoft erkl\u00e4rt<\/a>, dass Produkte und Szenarien, die unter dieser \u00dcberschrift aufgef\u00fchrt sind, \"die h\u00f6chsten potenziellen Auswirkungen auf die Sicherheit der Kunden haben\".<\/p>\n

Microsoft Azure Synapse Pwnalytics-Schwachstellen<\/h3>\n

Tenable Research hat zwei schwerwiegende Schwachstellen in der Infrastruktur entdeckt, auf der dieser Dienst l\u00e4uft. Diese Schwachstellen erm\u00f6glichen es einem Benutzer, die Rechte des Root-Benutzers innerhalb der zugrundeliegenden virtuellen Apache Spark-Maschinen zu erweitern oder die Hosts-Datei aller Knoten in einem Apache Spark-Pool zu \u201evergiften\".<\/p>\n

Die Schl\u00fcssel, Geheimnisse und Dienste, auf die \u00fcber diese Schwachstellen zugegriffen werden kann, erm\u00f6glichen bekannterma\u00dfen weitere seitliche Bewegungen und die Kompromittierung von Microsoft-eigenen Infrastrukturen. Dies kann potenziell zur Kompromittierung von Daten anderer Kunden f\u00fchren, wie in j\u00fcngster Zeit in mehreren anderen F\u00e4llen zu beobachten war, beispielsweise ChaosDB<\/a> von Wiz und SynLapse<\/a> von Orca. Microsoft hat jedoch behauptet, dass ein mandanten\u00fcbergreifender Zugriff \u00fcber diese Angriffsvektoren nicht m\u00f6glich ist.<\/p>\n

Tenable meldete diese Probleme am 10. M\u00e4rz 2022 an Microsoft. Microsoft hat bereits am 30. April 2022 damit begonnen, einen Fix f\u00fcr das Problem der Privilegienerweiterung bereitzustellen. Tenable geht derzeit davon aus, dass das Problem in allen Regionen erfolgreich behoben wurde. Die Endanwender m\u00fcssen nichts unternehmen, um sicherzustellen, dass ihre Umgebungen nicht mehr betroffen sind. Der Hosts-File-Poisoning-Angriff ist zum Zeitpunkt der Erstellung dieses Artikels noch nicht gepatcht. Aufgrund der Art dieser Schwachstellen und des Offenlegungsprozesses hat Tenable hierf\u00fcr noch keine CVE-Referenznummern.<\/p>\n

Z\u00e4he Bearbeitung durch Microsoft<\/h3>\n

W\u00e4hrend des Offenlegungsprozesses schienen Vertreter von Microsoft zun\u00e4chst zuzustimmen, dass es sich um kritische Probleme handelt. Microsoft entwickelte und implementierte einen Patch f\u00fcr die Privilegieneskalation ohne weitere Informationen von Tenable Research. In den letzten Tagen des Offenlegungsprozesses versuchte das Microsoft Security Response Center (MSRC), den Schweregrad des Problems der Privilegienerweiterung herunterzuspielen und stufte es als \"Best Practice Recommendation\" und nicht als Sicherheitsproblem ein.<\/p>\n

Trotz eindeutiger gegenteiliger Beweise lehnte das MSRC ein Kopfgeld oder eine Anerkennung f\u00fcr diese Entdeckung ab. Nachdem Microsoft von Tenable informiert wurde, Informationen \u00fcber die Schwachstellen zu ver\u00f6ffentlichen, revidierten Vertreter von Microsoft die vorherige Entscheidung und stuften diese Probleme als sicherheitsrelevant ein. Dies zeigt einen klaren Mangel an Kommunikation zwischen den beteiligten Teams bei Microsoft.<\/p>\n

Diese Schwachstellen und die Interaktion der Tenable-Forscher mit Microsoft zeigen, wie schwierig es ist, sicherheitsrelevante Probleme in Cloud-Umgebungen anzugehen. Der gesamte Prozess entzieht sich weitgehend der Kontrolle des Kunden. Die Kunden sind bei der Behebung der gemeldeten Probleme vollst\u00e4ndig auf die Cloud-Anbieter angewiesen. Die gute Nachricht ist jedoch, dass ein Problem, sobald es behoben ist, auch behoben ist. Die Kunden m\u00fcssen in der Regel nichts unternehmen, da alles hinter den Kulissen abl\u00e4uft. Die schlechte Nachricht ist jedoch, dass die Cloud-Anbieter nur selten darauf hinweisen, dass eine sicherheitsrelevante Schwachstelle \u00fcberhaupt vorhanden war.<\/p>\n

Ausf\u00fchrlichere Informationen \u00fcber die Interaktionen mit Microsoft und die technischen Details dieser Schwachstellen finden Sie in diesem Beitrag<\/a> auf dem Tenable TechBlog. In einem pers\u00f6nlichen Statement<\/a> \u00e4u\u00dfert sich auch Tenables CEO Amit Yoran zu den Vorg\u00e4ngen der vergangenen Woche und \u00fcber die grunds\u00e4tzliche Problematik von Schwachstellen in Cloud-Umgebungen der gro\u00dfen Anbieter.<\/p>\n

Weitere Informationen<\/b><\/p>\n