研究人员揭露微软Azure Service Fabric服务一项漏洞，最严重可导致Azure丛集执行程序甚至接管丛集。

　　这项漏洞微软已在6月修补，发现该漏洞的安全厂商Palo Alto Unit 24研究团队于本周才说明细节。

　　微软6月修补编号CVE-2022-30137的漏洞时，仅描述它是容器权限扩张漏洞，列为中度风险漏洞。

　　Service Fabric是以容器执行应用程序，在每次启动容器时免费云服务器永久使用，Service Fabric 会在每个容器内建立具有读写权限的新log目录。所有log目录又以Service Fabric的数据搜集代理程序（DCA）集结以便稍后执行。为了访问所有目录，DCA具有在所有节点以根权限执行的特权，但另一方面DCA处理的档案又可为容器修改，因此只要能修改这些档案，即可造成容器逃逸，并取得该节点的根执行权限。

　　漏洞就出在DCA里一个读取档案、检查内容格式及修改、覆盖档案内容的函数（GetIndex）。该函数又使用2个子函数负责读取（LoadFromFile）及修改文件（SaveToFile）的行为。研究人员指出，这里产生了符号连结竞争（symlink race），让进驻容器内的攻击者先加载恶意档案（或不知情的用户执行档案），在DCA读取及覆盖处理下，利用DCA根权限，以恶意档案覆盖节点档案系统中的档案。结果是用户在节点内执行恶意程序，或是攻击者接管容器甚至丛集。

　　不过研究人员指出，虽然这类行为可在Linux及Windows容器内观察，但开采漏洞仅能在Linux容器内实现，因为Windows容器内，没有授权的攻击者无法建立符号链接。

　　微软已针对Linux版本Azure Service Fabric释出更新。研究人员并未发现有任何成功开采漏洞的情形，微软建议未启动自动更新的客户应升级Linux 集群到最新版