微软在修复关键漏洞耗时长被多位网络安全专家指责

近期多名安全专家指责微软在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度，并在本周二发布的博文中称微软在修复 Azure 中的一个关键漏洞用了 5 个月的时间，而且先后发布了 3 个补丁，阐述了微软在这方面的失败。一家名叫Orca Security 公司在 1 月初首次向微软通报了位于云服务的 Synapse Analytics 组件中的该漏洞，该漏洞影响了 Azure 数据工厂，它使任何拥有 Azure 帐户的人都能够访问其他客户的资源。

Orca Security 公司的一名研究员 Tzah Pahima 表示，攻击者可以实现以下四个方面。

1、在充当 Synapse 工作区的同时在其他客户帐户中获得授权，根据配置，我们可以访问客户帐户中的更多资源。

2、存储在 Synapse 工作区中的客户凭据会被泄露

3、与其他客户的集成运行时进行通信，可以利用它在任何客户的集成运行时上运行远程代码 (RCE)。

4、可以在每个实例上运行代码，控制管理所有共享集成运行时的 Azure 批处理池。

另外一位Pahima人员说，漏洞很紧迫但微软的响应者却迟迟没有意识到它的严重性，在搞砸了前两个补丁后，直到周二才发布了完全修复该漏洞的更新。Pahima提供了他的公司花费了多少时间和工作来引导微软完成整治过程，如下。

1、1 月 4 日， Orca 安全研究团队向 Microsoft 安全响应中心 (MSRC) 披露了该漏洞以及能够提取的密钥和证书。

2、2 月 19 日和3 月 4 日，MSRC 要求提供更多细节以帮助其调查，他们每次都会在第二天回复。

3、3 月下旬，MSRC部署了初始补丁。

4、3 月 30 日，Orca 安全研究团队能够绕过补丁，突触仍然脆弱。

5、3 月 31 日，Azure 因为他们的发现，奖励了他们 60,000 美元。

6、4 月 4 日，也就是漏洞披露后 90 天，Orca Security 通知 Microsoft 密钥和证书仍然有效，而且Orca 仍然可以访问 Synapse 管理服务器。

7、4 月 7 日，Orca 与 MSRC 会面，阐明了该漏洞的影响以及全面修复该漏洞所需的步骤。

8、4 月 10 日，MSRC 修补绕过，最终撤销 Synapse 管理服务器证书，但Orca 能够再次绕过补丁，突触仍然脆弱。

9、4 月 15 日，MSRC 部署第三个补丁，修复 RCE 和报告的攻击向量。

10、5 月 9 日，Orca Security 和 MSRC 都发布了博客，概述了漏洞、缓解措施和针对客户的建议。

11、5 月底，Microsoft 部署了更全面的租户隔离，包括用于共享 Azure 集成运行时的临时实例和范围令牌。

Pahima表示，任何使用 Azure Synapse 服务的人都可以利用这两个漏洞，在评估情况后，微软决定默默修补其中一个问题，淡化风险。到16日为止，尚未通知 Microsoft 客户。