安全厂商Orca与Tenable本周说明发生在Microsoft Azure一项服务的漏洞，并指微软对漏洞的回应动作太慢及透明度不佳，让用户曝于风险。

Synapse Analytics是供机器学习、资料集结及其他高运算用量任务的平台。它可从许多资料源如CosmosDB、Azure Data Lake及Amazon S3导入资料。而为了从外部资料源导入资料，用户必须输入凭证及相关资料，再经由集成runtime（integration runtime，IR）连到资源源。IR可以执行在用户本地部署环境或Azure云上，若是后者，用户还可设置VNet（托管虚拟网络），以私密端点连到外部资源，这可提供租户隔离之效。

研究人员发现对接IR的第三方ODBC（Open Database Connectivity）驱动程序的一项漏洞，影响Azure Synapse及Azure Data Factory。

该漏洞编号CVE-2022-29972，Orca研究人员称之为SynLapse。攻击者可借此攻击Azure Synapse租户，以控制Azure Synapse的工做空间（workspace）、在Azure Synapse服务内的目标机器上执行程序代码、以及将客户验证凭证传到外部目的地，及取得其他用户账号的验证凭证（Azure keys、API token、密码等）。

图片来源／Orca

微软已在5月的Patch Tuesday中修补这项漏洞，但是研究人员对微软修补漏洞不确实及速度感到不满。

Orca研究人员Tzah Pahima指出，他在今年1月4日通报微软安全回应中心，并提供了他们取得的凭证和密钥。之后微软分别在3月底及4月初发布修补，两次都被绕过，最后在4月15日的第3次终于修补完成。距通报后已经100多天，而且微软到第96天才撤销失窃的凭证。微软5月底又提高租户安全隔离，包括短期执行实例（ephemeral instances）及限定范围的共享Azure Integration Runtimes token。

Tenable则是批评微软作业不够透明，该公司3月发现Synapse 2项漏洞，其中之一即CVE-2022-29972。首席执行官Amit Yoran则指出，微软一开始打算悄悄修补，直到研究人员威胁要公布，微软才决定公开，距离最初通报已89天。

Yoran指出，虽然微软承认漏洞的重要性，迄今（截至6月13日）却仍未通知用户。他说，基础架构或云计算服务企业欠缺透明度，将使用户风险大为提升，因为用户不知自己是否曝险，或已经被攻击，若不通知客户，将使其丧失搜集证据的机会，是不责任的政策。他认为必须让云计算供应商遵守透明度标准，而对云计算厂商实施独立IT基础架构的审核及评估也有其必要性。