Microsoft a publié des mises à jour de sécurité pour corriger une faille de sécurité affectant les pipelines Azure Synapse et Azure Data Factory qui pourraient permettre aux attaquants d’exécuter des commandes à distance sur l’infrastructure d’exécution d’intégration.
Le Runtime d’intégration (IR) L’infrastructure de calcul est utilisée par les pipelines Azure Synapse et Azure Data Factory pour fournir des fonctionnalités d’intégration de données dans les environnements réseau (par exemple, flux de données, répartition des activités, exécution de packages SQL Server Integration Services (SSIS)).
La vulnérabilité (suivie sous le nom de CVE-2022-29972 et signalée par Orca Security) a été atténuée le 15 avril, sans aucune preuve d’exploitation avant la publication des correctifs.
« La vulnérabilité a été trouvée dans le connecteur de données ODBC tiers utilisé pour se connecter à Amazon Redshift, dans Integration Runtime (IR) dans Azure Synapse Pipelines et Azure Data Factory », a déclaré Microsoft. expliqué dans un avis de sécurité publié aujourd’hui.
« La vulnérabilité aurait pu permettre à un attaquant d’exécuter des commandes à distance sur une infrastructure IR non limitée à un seul locataire », a ajouté la société dans un article de blog Microsoft Security Response Center (MSRC).
L’exploitation réussie de ce connecteur ODBC pour la faille Amazon Redshift pourrait permettre à des attaquants malveillants exécutant des tâches dans un pipeline Synapse d’exécuter des commandes à distance.
Lors de la prochaine étape d’attaque, ils pourraient potentiellement voler le certificat de service Azure Data Factory pour exécuter des commandes dans les runtimes d’intégration Azure Data Factory d’un autre locataire.
Comment atténuer
Microsoft affirme que les clients utilisant le cloud Azure (Azure Integration Runtime) ou qui hébergent leur propre environnement sur site (Self-Hosted Integration Runtime) avec les mises à jour automatiques activées n’ont pas besoin de prendre d’autres mesures pour atténuer cette faille.
Les clients IR auto-hébergés qui n’ont pas activé la mise à jour automatique ont déjà été avertis de protéger leurs déploiements via Azure Service Health Alerts (ID : MLC3-LD0).
La société leur conseille de mettre à jour leurs IR auto-hébergés vers la dernière version (5.17.8154.2) disponible sur le centre de téléchargement de Microsoft.
Ces mises à jour peuvent être installées sur des systèmes 64 bits avec .NET Framework 4.7.2 ou supérieur exécutant des plates-formes client et serveur, y compris les dernières versions (Windows 11 et Windows Server 2022).
« Pour une protection supplémentaire, Microsoft recommande de configurer les espaces de travail Synapse avec un réseau virtuel géré qui offre un meilleur calcul et une meilleure isolation du réseau », Redmond ajoutée.
« Les clients utilisant Azure Data Factory peuvent activer les runtimes d’intégration Azure avec un réseau virtuel géré. »
Vous pouvez trouver de plus amples informations sur la façon d’atténuer complètement CVE-2022-299 dans le « Recommandations des clients et assistance supplémentaire » section du billet de blog de MSRC.
Calendrier de divulgation :
- 4 janvier – Orca a signalé le problème à Microsoft
- 2 mars – Microsoft a terminé le déploiement du correctif initial
- 11 mars – Microsoft identifie et notifie le client concerné par l’activité du chercheur
- 30 mars – Orca a informé Microsoft d’un chemin d’attaque supplémentaire vers la même vulnérabilité
- 13 avril – Orca a informé Microsoft d’un deuxième chemin d’attaque vers la même vulnérabilité
- 15 avril – Correctifs supplémentaires déployés pour les deux voies d’attaque nouvellement signalées ainsi que des mesures de défense en profondeur supplémentaires appliquées
En mars, Microsoft a déclaré avoir corrigé une autre vulnérabilité de sécurité Azure en décembre (également signalée par Orca Security) qui permettait aux attaquants de prendre le contrôle total des données d’autres clients Azure en abusant d’un bug du service Azure Automation appelé AutoWarp.
Le mois dernier, la société a corrigé une chaîne de bugs critiques dans le serveur flexible Azure Database pour PostgreSQL (connu sous le nom d’ExtraReplica) qui permet aux utilisateurs malveillants d’accéder aux bases de données d’autres clients après avoir contourné l’authentification.
Parmi les autres failles Microsoft Azure corrigées par Redmond au cours de l’année dernière, citons celles trouvées dans Azure Cosmos DB, l’agent logiciel Open Management Infrastructure (OMI) et Azure App Service.