过渡到云服务的一个最常见的好处是可以共同承担保护资产的责任，但是云提供商也不能避免安全漏洞，比如漏洞或错误配置。这是研究人员在过去几个月在Azure Functions中发现的第二次权限升级(EoP)漏洞。

今年2月份，安全公司Intezer研究人员发现微软的无服务器运算服务Azure Functions，存在一个特权提升漏洞，且程序代码可从Azure Functions DockerDocker逃脱(Escape)至Docker主机。但微软认为，这个漏洞不影响用户安全。

Azure Functions让用户不需要配置和管理基础设施，就能简单地开始执行程序代码，可由HTTP请求触发，并且一次最多只能执行数分钟处理该事件，用户的程序代码会在Azure托管的Docker中执行，无法逃脱受限的环境，但是这个Azure Functions的新漏洞，却可让程序代码逃脱至Docker主机。

当程序代码逃脱到了Docker，取得根访问权限，就足以破坏Docker主机，并获得更多的控制权，除了逃脱可能受到监控的Docker，还能转移到安全性经常被忽略的Docker主机。

这一次，Intezer研究人员是与微软安全响应中心(MSRC)合作并报告的新发现的漏洞。他们确定这种行为对Azure Functions用户没有安全影响。因为发现的Docker主机实际上是一个HyperV客户端，而它又被另一个沙箱层保护起来了。

不过，类似这样的情况仍然表明，漏洞有时是未知的，或者不受云用户的控制。推荐一种双管齐下的云安全方法：做一些基础工作，例如修复已知的漏洞和加固系统以减少受到攻击的可能性，并实现运行时保护，以便在漏洞利用和其他内存攻击发生时检测/响应它们。

Azure Functions Docker中的漏洞分析

Azure FunctionsDocker以-privileged Docker标志运行，从而导致/dev目录下的设备文件在Docker主机和Docker客户端之间共享。这是标准的特权Docker行为，然而，这些设备文件对“其他”文件具有“rw”权限，如下所示，这是我们提出的漏洞会发生的根本原因。