安全专家批评微软反应迟钝：花费五个月的时间才修复Azure的一个关键漏洞

安全专家说，微软在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度，因此对微软的指责越来越多。

微软的最新失误在周二被曝光，该帖子显示微软花了五个月和三个补丁才成功修复了Azure的一个关键漏洞。Orca Security在1月初首次向微软通报了这一漏洞，该漏洞存在于云服务的Synapse Analytics组件中，也影响到Azure Data Factory。它使任何拥有Azure账户的人都有能力访问其他客户的资源。

Orca Security研究员Tzah Pahima说，从那里，攻击者可以：

· 在其他客户账户内获得授权，同时充当他们的Synapse工作区。根据配置，我们可以访问客户账户内的更多资源。
· 泄露客户存储在Synapse工作区的凭证。
· 与其他客户的集成运行时进行通信。我们可以利用这一点，在任何客户的集成运行时上运行远程代码（RCE）。
· 控制管理所有共享集成运行时的 Azure 批量池。我们可以在每个实例上运行代码。