Azure Synapse Analytics 安全漏洞披露及修复

关键要点

• Orca Security 报告发现 Azure Synapse Analytics 存在租户分离漏洞，微软修复时间超过 100 天。
• Orca 指出微软的前三个补丁未能解决问题，漏洞仍然存在。
• 与 AWS 等其他云服务提供商的案例相比，这次的响应速度显著较慢。
• 安全专家呼吁云服务提供商采取零信任原则，加强安全防护。

研究人员在 Orca Security于周二发布了一篇，指出 Azure Synapse Analytics存在租户分离漏洞。Orca 的声明称，微软花费了超过 100 天才进行最终修复。

Orca 的联合创始人兼首席执行官 Avi Shua 表示，为了解决这一问题，微软提供了三个补丁，前两个补丁均被 Orca 的研究人员绕过。Shua还指出，只有在 Orca 的强硬立场下，内部控制服务器才在 96 天后被撤销。他认为，尽管微软已修复了漏洞，但还需要设置一个沙盒作为额外的安全防护。

Shua 透露，Orca 一直在披露此类安全问题。在与 AWS 和
的至少两次事件中，问题都在几天内得到解决。他还提到，Tenable 在 Azure Synapse Analytics中发现的类似漏洞也在中发布。

Shua 表示，这次的案例与 Orca 过去与 Azure 的经历非常不同，他们于 1 月 4日首次向微软报告了该问题。“在两个月半后我们才收到回复，但很明显，根本的问题仍未解决，暴露的密钥尚未被撤销。”

经过近四个月的等待，Shua 感觉有必要向行业披露这一问题，因此他告知微软将在 5 月 9日发布。

微软也在 5 月 9 日发布了一篇，报告称问题已于 4 月 15 日缓解。微软指出，Orca 和 Tenable 的案例是不同的漏洞，并补充说他们已处理了
Tenable 所报告的问题，客户无需采取任何行动。

尽管 Orca 指出的漏洞已有补丁，但 Shua 还是坚持认为微软需要添加沙盒保护。他在 5 月 9 日的博客中写道，Orca 将于 6 月 14日发布该案例的详细技术信息。Shua 表示，微软在 6 月 9 日通知
Orca，最终的修复已经完成，此次补丁是由微软自动完成，因此当前安全团队无需采取任何措施。

“没有人告诉我再等两周就能解决，”Shua 说。“从我们发现漏洞到现在，花费了超过五个月。”

云平台中的多租户服务在安全性审核方面变得日益复杂，Vectra 的首席技术官 Oliver Tavakoli表示，当所涉及的服务仅仅是运行工作负载时，审核底层虚拟机监控器以防可能的安全逃逸大多可以在云平台之外完成。

“然而，随着云平台中更复杂的定制服务漏洞被披露，我们显然面临一系列潜在的漏洞，而没有合理的方法测试这些漏洞，且在应对这些漏洞披露时，相关反应仍是一个相对不成熟的肌肉，”Tavakoli说。“我不确定微软内部谁批准了这次的回应，但这些决策不应留给单个产品团队，应该有中央监督来提供必要的制衡。”

Symmetry Systems 的联合创始人兼首席执行官 Mohit Tiwari表示，组织必须在关键资产周围设置保护措施，以防止或检测数据泄露。Tiwari 指出，过去一年里在所有云服务提供商发现的多项关键漏洞