Los parches fallidos y silenciosos de Microsoft ponen en riesgo a los clientes, dicen los críticos
Se culpa a Microsoft por la falta de transparencia y velocidad razonable al responder a los informes de vulnerabilidades que amenazan a sus clientes, según los expertos en seguridad, dicen los críticos. La última falla de Microsoft salió a la luz en una publicación el martes que mostró que Microsoft tardó cinco meses y tres parches en corregir con éxito una vulnerabilidad crítica en Azure. Orca Security informó por primera vez a Microsoft a principios de enero sobre el error que había en el componente Synapse Analytics del servicio en la nube y que también afectaba a Azure Data Factory. Dio a cualquier persona con una cuenta de Azure la capacidad de acceder a los recursos de otros clientes. A partir de ahí, dijo el investigador de seguridad de las orcas Tzah Pahima, un atacante podría:
- Obtenga autorización en otras cuentas de clientes mientras actúa como su espacio de trabajo de Synapse. Dependiendo de la configuración, podríamos haber accedido incluso a más recursos dentro de una cuenta de cliente.
- Filtrar las credenciales de los clientes almacenadas en su espacio de trabajo de Synapse.
- Comuníquese con los tiempos de ejecución de integración de otros clientes. Podríamos usar esto para ejecutar código remoto (RCE) en los tiempos de ejecución de integración de cualquier cliente.
- Tome el control del grupo de lotes de Azure que administra todos los tiempos de ejecución de integración compartidos. Podríamos ejecutar código en cada instancia.
La tercera vez es la vencida
A pesar de la urgencia de la vulnerabilidad, los respondedores de Microsoft han tardado en comprender su gravedad, dijo Pahima. Microsoft estropeó los dos primeros parches, y solo el martes Microsoft lanzó una actualización que solucionó completamente el error. Una línea de tiempo proporcionada por Pahima muestra cuánto tiempo y trabajo le tomó a su compañía guiar a Microsoft a través del proceso de remediación.
- 4 de enero: el equipo de investigación de Orca Security informó la vulnerabilidad al Centro de respuesta de seguridad de Microsoft (MSRC), junto con las claves y los certificados que pudimos extraer.
- 19 de febrero y 4 de marzo: MSRC solicitó detalles adicionales para ayudar en su investigación. Siempre respondíamos al día siguiente.
- Finales de marzo: MSRC implementó el primer parche.
- 30 de marzo – Orca podría hacerlo pasar por alto el parche. Synapse permaneció vulnerable.
- 31 de marzo: Azure nos otorga $60,000 por nuestro descubrimiento.
- 4 de abril (90 días después de la divulgación): Orca Security notifica a Microsoft que las claves y los certificados aún son válidos. Orca aún tenía acceso al servidor de administración de Synapse.
- 7 de abril: Orca se reunió con MSRC para aclarar el impacto de la vulnerabilidad y los pasos necesarios para remediarla por completo.
- 10 de abril: MSRC corrige la omisión y eventualmente revoca el certificado del servidor de administración de Synapse. Orca podría omitir el parche de nuevo. Synapse permaneció vulnerable.
- 15 de abril: MSRC implementa el tercer parche que corrige RCE y los vectores de ataque informados.
- 9 de mayo: tanto Orca Security como MSRC publican blogs que detallan la vulnerabilidad, las mitigaciones y las recomendaciones para los clientes.
- Finales de mayo: Microsoft está implementando un aislamiento de inquilinos más completo, que incluye instancias efímeras y tokens de alcance para Azure Integration Runtimes compartidos.
Solución silenciosa, sin notificación
La cuenta llegó 24 horas después de que la firma de seguridad Tenable compartiera una historia similar en la que Microsoft no solucionó de manera transparente las vulnerabilidades que también afectaron a Azure Synapse. En una publicación titulada «Las prácticas de vulnerabilidad de Microsoft ponen en riesgo a los clientes», Amit Yoran, presidente y director ejecutivo de Tenable, se quejó de la «falta de visibilidad de la ciberseguridad» que Microsoft anunció un día antes de levantar el embargo de 90 días sobre las vulnerabilidades críticas reveladas que su empresa había informado en privado. Anuncio Él escribió:
Cualquiera que use el servicio Azure Synapse podría aprovechar ambas vulnerabilidades. Después de evaluar la situación, Microsoft decidió solucionar discretamente uno de los problemas y minimizar el riesgo. Fue solo después de que nos dijeron que íbamos a hacerlo público que su historia cambió… 89 días después de la notificación inicial de la vulnerabilidad… cuando reconocieron en privado la gravedad del problema de seguridad. Hasta el momento, los clientes de Microsoft no han sido notificados.
Tenable tiene detalles técnicos aquí. Los críticos también criticaron a Microsoft por no corregir una vulnerabilidad crítica de Windows llamada Follina hasta que se explotó activamente durante más de siete semanas. El método de explotación se describió por primera vez en un artículo académico de 2020. Luego, en abril, los investigadores de Shadow Chaser Group dijeron en Twitter que habían informado a Microsoft que Follina estaba siendo explotada en una ejecución de spam malicioso en curso, e incluso incluyeron el archivo de explotación utilizado en la campaña. Por razones que Microsoft aún no ha explicado, la compañía no declaró el comportamiento informado como una vulnerabilidad hasta hace dos semanas y no lanzó un parche formal hasta el martes. Por su parte, Microsoft defiende sus prácticas y ha facilitado este post detallando el trabajo para corregir la vulnerabilidad de Azure encontrada por Orca Security. En un comunicado, los funcionarios de la compañía escribieron: «Estamos profundamente comprometidos con la protección de nuestros clientes y creemos que la seguridad es un deporte de equipo. Valoramos nuestras asociaciones con la comunidad de seguridad, que permiten nuestro trabajo para proteger a los clientes. Lanzar una actualización de seguridad es un equilibrio entre la calidad y la puntualidad, y reconocemos la necesidad de minimizar las interrupciones para los clientes al mismo tiempo que mejoramos la protección».