Hôm thứ Hai, Microsoft tiết lộ rằng họ đã giảm thiểu một lỗ hổng bảo mật ảnh hưởng đến Azure Synapse và Azure Data Factory, nếu khai thác thành công, có thể dẫn đến việc thực thi mã từ xa.
Lỗ hổng này, được theo dõi là CVE-2022-29972, được đặt tên mã là “SynLapse” bởi các nhà nghiên cứu từ Orca Security, người đã báo cáo lỗ hổng cho Microsoft vào tháng 1 năm 2022.
“Lỗ hổng này dành riêng cho trình điều khiển Kết nối Cơ sở dữ liệu Mở (ODBC) của bên thứ ba được sử dụng để kết nối với Amazon Redshift trong các đường ống dẫn Azure Synapse và Azure Data Factory Integration Runtime (IR) và không ảnh hưởng đến Azure Synapse nói chung”, công ty cho biết .
“Lỗ hổng có thể đã cho phép kẻ tấn công thực hiện lệnh từ xa trên cơ sở hạ tầng IR không giới hạn ở một đối tượng thuê.”
Nói cách khác, một tác nhân độc hại có thể vũ khí hóa lỗi để có được chứng chỉ dịch vụ Azure Data Factory và truy cập vào Chế độ Tích hợp của người thuê khác để có quyền truy cập vào thông tin nhạy cảm, phá vỡ các biện pháp bảo vệ tách biệt người thuê một cách hiệu quả.
Gã khổng lồ công nghệ, công ty đã giải quyết lỗ hổng bảo mật vào ngày 15 tháng 4, cho biết họ không tìm thấy bằng chứng về việc sử dụng sai mục đích hoặc hoạt động độc hại liên quan đến lỗ hổng bảo mật.
Điều đó nói rằng, công ty có trụ sở tại Redmond đã chia sẻ tính năng phát hiện Microsoft Defender cho Endpoint và Microsoft Defender Antivirus để bảo vệ khách hàng khỏi khả năng bị khai thác, thêm vào đó nó đang hoạt động để tăng cường bảo mật cho các trình kết nối dữ liệu của bên thứ ba bằng cách làm việc với các nhà cung cấp trình điều khiển.
Các phát hiện được đưa ra sau hơn hai tháng một chút sau khi Microsoft khắc phục một lỗ hổng “AutoWarp” ảnh hưởng đến dịch vụ Azure Automation của họ có thể đã cho phép truy cập trái phép vào các tài khoản khách hàng Azure khác và chiếm quyền kiểm soát.
Tháng trước, Microsoft cũng đã giải quyết một cặp vấn đề – được gọi là “ExtraReplica” – với Cơ sở dữ liệu Azure cho Máy chủ linh hoạt PostgreSQL có thể dẫn đến quyền truy cập cơ sở dữ liệu nhiều tài khoản không được chấp thuận trong một khu vực.
.
