微软修复Azure Site Recovery漏洞 | 技术深度解析
微软缓解Azure Site Recovery漏洞
摘要
微软近期缓解了Azure Site Recovery(ASR)中的一组漏洞,并于2022年7月12日通过常规更新周二周期发布修复补丁。这些漏洞影响所有使用VMware/物理机到Azure场景的ASR本地客户,最新ASR 9.49版本已包含修复程序。建议客户立即升级至https://aka.ms/upgrade-to-9.49以保持安全。
微软未发现这些漏洞被利用的迹象,其仅影响复制功能而不涉及客户工作负载。由于是本地化服务,也不存在跨租户数据泄露风险。这些CVE漏洞均需攻击者已获取ASR本地环境的合法凭证才能利用。受影响用户可通过aka.ms/azsupt提交支持案例。
漏洞影响
本次修复包含三类漏洞:
-
SQL注入(SQLi)
主要修复可导致权限提升(EoP)的SQLi漏洞。利用需攻击者已获取ASR受保护VM的管理员凭证。微软持续改进输入净化机制以强化防护。 -
权限提升(EoP)
包含非SQLi的权限提升漏洞,例如CVE-2022-33675(由研究伙伴披露),该漏洞特影响ASR进程服务器组件(仅用于VMware至Azure灾备场景)。利用需先获取ASR进程服务器系统的标准用户凭证。 -
远程代码执行(RCE)
影响ASR设备的RCE漏洞,攻击者需持有ASR受保护VM的管理员凭证才能在特定条件下执行任意代码。
客户应对措施
重申:所有使用VMware/物理机到Azure场景的ASR本地客户均需升级至ASR 9.49版本(https://aka.ms/upgrade-to-9.49)。微软特别感谢通过协调漏洞披露(CVD)机制报告漏洞的研究人员。
附加资源
- 升级ASR 9.49:https://aka.ms/upgrade-to-9.49
- 安全更新指南:查看具体CVE详情
- 版本说明:获取安全修复细节
- 技术支持:通过Azure门户提交案例(aka.ms/azsupt)
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
浙公网安备 33010602011771号