La culpa recae sobre Microsoft por lo que los críticos dicen que es una falta de transparencia y velocidad adecuada al responder a los informes de vulnerabilidades que amenazan a sus clientes, dijeron los profesionales de seguridad.
El último fallo de Microsoft salió a la luz el martes en un correo que mostró que Microsoft tardó cinco meses y tres parches antes de corregir con éxito una vulnerabilidad crítica en Azure. Orca Security informó por primera vez a Microsoft a principios de enero sobre la falla, que residía en el componente Synapse Analytics del servicio en la nube y también afectaba a Azure Data Factory. Dio a cualquier persona con una cuenta de Azure la capacidad de acce der a los recursos de otros clientes.
A partir de ahí, dijo Tzah Pahima, investigador de Orca Security, un atacante podría:
- Obtenga autorización dentro de otras cuentas de clientes mientras actúa como su espacio de trabajo de Synapse. Podríamos haber accedido incluso a más recursos dentro de la cuenta de un cliente dependiendo de la configuración.
- Filtrar las credenciales de los clientes almacenadas en su espacio de trabajo de Synapse.
- Comuníquese con los tiempos de ejecución de integración de otros clientes. Podríamos aprovechar esto para ejecutar código remoto (RCE) en los tiempos de ejecución de integración de cualquier cliente.
- Tome el control del grupo de lotes de Azure y administre todos los tiempos de ejecución de integración compartidos. Podríamos ejecutar código en cada instancia.
La tercera es la vencida
A pesar de la urgencia de la vulnerabilidad, los respondedores de Microsoft tardaron en comprender su gravedad, dijo Pahima. Microsoft estropeó los dos primeros parches, y no fue hasta el martes que Microsoft emitió una actualización que solucionó por completo la falla. Una línea de tiempo proporcionada por Pahima muestra cuánto tiempo y trabajo le tomó a su compañía guiar a Microsoft a través del proceso de remediación.
- 4 de enero: el equipo de investigación de Orca Security reveló la vulnerabilidad al Microsoft Security Response Center (MSRC), junto con las claves y los certificados que pudimos extraer.
- 19 de febrero y 4 de marzo: MSRC solicitó detalles adicionales para ayudar en su investigación. Cada vez, respondimos al día siguiente.
- Finales de marzo: MSRC implementó el parche inicial.
- 30 de marzo: Orca pudo pasar por alto el parche. Synapse permaneció vulnerable.
- 31 de marzo: Azure nos otorga $60,000 por nuestro descubrimiento.
- 4 de abril (90 días después de la divulgación): Orca Security notifica a Microsoft que las claves y los certificados aún son válidos. Orca aún tenía acceso al servidor de administración de Synapse.
- 7 de abril: Orca se reunió con MSRC para aclarar las implicaciones de la vulnerabilidad y los pasos necesarios para solucionarla en su totalidad.
- 10 de abril: MSRC parchea el bypass y finalmente revoca el certificado del servidor de administración de Synapse. Orca fue capaz de pasa por alto el parche una vez más
. Synapse permaneció vulnerable.- 15 de abril: MSRC implementa el tercer parche, reparando el RCE y los vectores de ataque informados.
- 9 de mayo: tanto Orca Security como MSRC publican blogs que describen la vulnerabilidad, las mitigaciones y las recomendaciones para los clientes.
- Finales de mayo: Microsoft implementa un aislamiento de inquilinos más completo que incluye instancias efímeras y tokens de alcance para Azure Integration Runtimes compartidos.
Solución silenciosa, sin notificación
La cuenta llegó 24 horas después de que la firma de seguridad Tenable relatara una historia similar de que Microsoft no solucionó de manera transparente las vulnerabilidades que también involucraban a Azure Synapse. En una publicación titulada Las prácticas de vulnerabilidad de Microsoft ponen a los clientes en riesgoel presidente y director ejecutivo de Tenable, Amit Yoran, se quejó de la “falta de transparencia en la ciberseguridad” que mostró Microsoft un día antes de que se levantara el embargo de 90 días sobre las vulnerabilidades críticas que su empresa había informado en privado.
El escribio:
Ambas vulnerabilidades eran explotables por cualquiera que usara el servicio Azure Synapse. Después de evaluar la situación, Microsoft decidió parchear silenciosamente uno de los problemas, minimizando el riesgo. Fue solo después de que nos dijeron que íbamos a hacerlo público, que su historia cambió… 89 días después de la notificación de vulnerabilidad inicial… cuando reconocieron en privado la gravedad del problema de seguridad. Hasta la fecha, los clientes de Microsoft no han sido notificados.
Tenable tiene detalles técnicos aquí.
Los críticos también han criticado a Microsoft por no corregir una vulnerabilidad crítica de Windows llamada Follina hasta que se explotó activamente durante más de siete semanas. El método de explotación se describió por primera vez en un artículo académico de 2020. Luego, en abril, los investigadores de Shadow Chaser Group dijeron en Twitter que habían informado a Microsoft que Follina estaba siendo explotada en una ejecución de spam malicioso en curso e incluso incluyeron el archivo de explotación utilizado en la campaña.
Por razones que Microsoft aún no ha explicado, la compañía no declaró el comportamiento informado como una vulnerabilidad hasta hace dos semanas y no lanzó un parche formal hasta el martes.
Por su parte, Microsoft defiende sus prácticas y ha proporcionado esta publicación detallando el trabajo involucrado en la reparación de la vulnerabilidad de Azure encontrada por Orca Security.
En un comunicado, los funcionarios de la compañía escribieron: “Estamos profundamente comprometidos con la protección de nuestros clientes y creemos que la seguridad es un deporte de equipo. Apreciamos nuestras alianzas con la comunidad de seguridad, lo que permite nuestro trabajo para proteger a los clientes. El lanzamiento de una actualización de seguridad es un equilibrio entre calidad y puntualidad, y consideramos la necesidad de minimizar las interrupciones de los clientes mientras mejoramos la protección”.