行业新闻与博客

网络安全研究人员发现了一个影响 Azure 机器学习 (AML) 的严重权限提升漏洞。

该漏洞允许仅具有存储帐户访问权限的攻击者在 AML 管道内执行任意代码，从而可能导致默认配置下的完全订阅泄露。

根源于调用者脚本访问的漏洞

云安全公司 Orca 发现的这个问题源于 AML 在自动创建的存储帐户中存储和执行调用程序脚本（用于编排 ML 组件的 Python 文件）的方式。这些脚本在被修改后，会以 AML 计算实例的权限运行，而该实例通常具有广泛或高度特权的身份。

在其概念验证（POC）中，Orca 表明，具有基本存储写入权限的攻击者可以：

• 替换调用者脚本以注入恶意代码

• 从 Azure Key Vault 中提取机密

• 使用 AML 计算实例的托管标识提升权限

• 承担创建实例的用户的角色，包括 Azure 订阅上的“所有者”权限

由于 SSO（单点登录）默认启用，允许计算实例继承创建者级别的访问权限，因此这种攻击媒介尤其令人担忧。

微软的回应和主要缓解措施

微软承认了 Orca 的发现，但澄清说这种行为是“设计使然”，将对存储帐户的访问等同于对计算实例本身的访问。

然而，该公司后来更新了其文档并引入了一项关键变化——AML 现在使用组件代码的快照来运行作业，而不是实时从存储中读取脚本。

尽管微软并不认为这是一个安全漏洞，但 Orca 强调，该漏洞在默认和受支持的设置下有效。他们警告说，除非用户明确重新配置存储访问、SSO 和托管身份，否则他们的环境仍然处于危险之中。

为了防止被利用，建议 AML 用户：

• 限制对 AML 存储帐户的写入访问权限

• 尽可能禁用计算实例上的 SSO

• 使用具有最小权限的系统分配身份

• 对关键脚本强制实施不变性和版本控制

• 为调用者脚本实施校验和验证

Orca 的结论是，虽然 AML 的安全模型在理论上是有效的，但在实践中，如果没有严格的访问控制，它会使组织暴露在风险之中。

定期配置审查和遵守最小特权原则对于保护机器学习管道仍然至关重要。