微软Azure Service Fabric漏洞可导致黑客接管丛集

研究人员揭露微软Azure Service Fabric服务一项漏洞，最严重可导致Azure丛集执行程序甚至接管丛集。

这项漏洞微软已在6月修补，发现该漏洞的安全厂商Palo Alto Unit 24研究团队于本周才说明细节。

这个漏洞影响微软微服务应用平台Azure Service Fabric。 Service Fabric上，Azure云端上的应用可切分成许多微服务，以便在不动到底层架构情况下独立更新、维护。微软表示，Service Fabric已代管超过100万个应用程式，每日执行核心数百万。它也是Azure许多服务的底层，包括Azure Service Fabric、Azure SQL Database和Azure CosmosDB，以及Cortana及Power BI等其他微软服务。

微软6月修补编号CVE-2022-30137的漏洞时，仅描述它是容器权限扩张漏洞，列为中度风险漏洞。

Service Fabric是以容器执行应用程序，在每次启动容器时，Service Fabric 会在每个容器内建立具有读写权限的新log目录。所有log目录又以Service Fabric的数据搜集代理程序（DCA）集结以便稍后执行。为了访问所有目录，DCA具有在所有节点以根权限执行的特权，但另一方面DCA处理的档案又可为容器修改，因此只要能修改这些档案，即可造成容器逃逸，并取得该节点的根执行权限。

漏洞就出在DCA里一个读取档案、检查内容格式及修改、覆盖档案内容的函数（GetIndex）。该函数又使用2个子函数负责读取（LoadFromFile）及修改文件（SaveToFile）的行为。研究人员指出，这里产生了符号连结竞争（symlink race），让进驻容器内的攻击者先加载恶意档案（或不知情的用户执行档案），在DCA读取及覆盖处理下，利用DCA根权限，以恶意档案覆盖节点档案系统中的档案。结果是用户在节点内执行恶意程序，或是攻击者接管容器甚至丛集。

不过研究人员指出，虽然这类行为可在Linux及Windows容器内观察，但开采漏洞仅能在Linux容器内实现，因为Windows容器内，没有授权的攻击者无法建立符号链接。

微软已针对Linux版本Azure Service Fabric释出更新。研究人员并未发现有任何成功开采漏洞的情形，微软建议未启动自动更新的客户应升级Linux 丛集到最新版