Уязвимость в облаке Microsoft Azure — худшая из возможных

Microsoft предупредила тысячи клиентов облачных вычислений Azure, в том числе несколько компаний из списка Fortune 500, об уязвимости, из-за которой их данные были полностью раскрыты за последние два года.

Недостаток продукта Microsoft Azure Cosmos DB сделал более 3300 клиентов Azure открытыми для полного беспрепятственного доступа злоумышленников. Уязвимость появилась в 2019 году, когда Microsoft добавила в Cosmos DB функцию визуализации данных под названием Jupyter Notebook. Эта функция была включена по умолчанию для всех баз данных Cosmos в феврале 2021 года.

а Список клиентов Azure Cosmos DB В него входят такие компании, как Coca Cola, Liberty Mutual Insurance, ExxonMobil, Walgreens и многие другие.

Эми Латтвак, технический директор Wiz, охранной компании, которая Выяснить проблему. «Это центральная база данных для Azure, и мы могли получить доступ к любой базе данных клиентов, которую хотели».

Несмотря на серьезность и представленные риски, Microsoft не обнаружила никаких доказательств наличия уязвимости, приводящей к незаконному доступу к данным. «Нет никаких доказательств того, что эта технология используется злоумышленниками». Microsoft сказала Bloomberg В электронном письме. «Нам не известно о доступе к каким-либо данным клиентов из-за этой уязвимости». Microsoft заплатила Wiz 40 000 долларов за открытие. Рейтер.

в Подробное сообщение в блогеУайз говорит, что уязвимость, представленная Jupyter Notebook, позволила исследователям компании получить доступ к первичным ключам, которые защищали базы данных Cosmos DB для клиентов Microsoft. С этими ключами Wiz имела полный доступ на чтение / запись / удаление к данным нескольких тысяч клиентов Microsoft Azure.

Wiz заявляет, что обнаружила проблему две недели назад, и Microsoft отключила уязвимость в течение 48 часов с момента сообщения Wiz. Однако Microsoft не может изменить первичные ключи доступа своих клиентов, поэтому компания отправляет клиентам Cosmos DB электронное письмо с просьбой вручную изменить их ключи, чтобы уменьшить уязвимость.

Сегодняшняя проблема — это последний кошмар Microsoft в области безопасности. У компании было несколько Исходный код украден хакерами SolarWinds в конце декабря, Почтовые серверы Exchange взломаны А также Участвовал в атаках программ-вымогателей В марте последний дефект принтера Это позволило злоумышленникам захватить компьютеры с общесистемными привилегиями. Но с учетом того, что мировые данные все чаще перемещаются в централизованные облачные сервисы, такие как Azure, сегодняшние разоблачения могут стать самым тревожным событием для Microsoft.