微软反应迟钝修复Azure关键漏洞

安全专家批评微软反应迟钝:花费五个月的时间才修复Azure的一个关键漏洞

安全专家说,微软在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度,因此对微软的指责越来越多。

微软的最新失误在周二被曝光,该帖子显示微软花了五个月和三个补丁才成功修复了Azure的一个关键漏洞。Orca Security在1月初首次向微软通报了这一漏洞,该漏洞存在于云服务的Synapse Analytics组件中,也影响到Azure Data Factory。它使任何拥有Azure账户的人都有能力访问其他客户的资源。

Orca Security研究员Tzah Pahima说,从那里,攻击者可以:

· 在其他客户账户内获得授权,同时充当他们的Synapse工作区。根据配置,我们可以访问客户账户内的更多资源。
· 泄露客户存储在Synapse工作区的凭证。
· 与其他客户的集成运行时进行通信。我们可以利用这一点,在任何客户的集成运行时上运行远程代码(RCE)。
· 控制管理所有共享集成运行时的 Azure 批量池。我们可以在每个实例上运行代码。

—— arstechnica

更多文章

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注