之间网

微软Azure云漏洞是你能想象的最糟糕

科技
导读 微软已经警告数以千计的 Azure 云计算客户,包括许多财富 500 强公司,一个漏洞导致他们的数据在过去两年中完全暴露。微软 Azure Cos

微软已经警告数以千计的 Azure 云计算客户,包括许多财富 500 强公司,一个漏洞导致他们的数据在过去两年中完全暴露。微软 Azure Cosmos DB 数据库产品中的一个缺陷让超过 3,300 名 Azure 客户开放以完成攻击者的无限制访问。该漏洞于 2019 年引入,当时微软向 Cosmos DB 添加了名为 Jupyter Notebook 的数据可视化功能。该功能在 2021 年 2 月默认为所有 Cosmos DB 启用。

一个Azure的宇宙DB客户端的房源包括像可口可乐,利宝互助保险,埃克森美孚公司和沃尔格林公司,仅举几例。

“这是你能想象到的最严重的云漏洞,”发现该问题的安全公司 Wiz 的首席技术官 Ami Luttwak 说。“这是 Azure 的中央数据库,我们能够访问我们想要的任何客户数据库。”

尽管存在严重性和风险,但 Microsoft 尚未发现任何导致非法数据访问的漏洞的证据。“没有证据表明这种技术被恶意行为者利用,”微软在一封电子邮件声明中告诉彭博社。“我们不知道由于此漏洞而访问了任何客户数据。” 据路透社报道,微软为这一发现向 Wiz 支付了 40,000 美元。在发布到 Microsoft 安全响应中心的更新中,该公司表示其取证调查包括查看日志以查找过去的任何当前活动或类似事件。“我们的调查显示,除了研究人员的活动之外,没有任何未经授权的访问,”微软表示。

在一篇详细的博客文章中,Wiz 表示 Jupyter Notebook 引入的漏洞允许该公司的研究人员访问为 Microsoft 客户保护 Cosmos DB 数据库的主键。有了这些密钥,Wiz 就可以完全读取/写入/删除数千个 Microsoft Azure 客户的数据。

Wiz 表示,它在两周前发现了这个问题,微软在 Wiz 报告后 48 小时内禁用了该漏洞。但是,Microsoft 无法更改其客户的主要访问密钥,这就是该公司向 Cosmos DB 客户发送电子邮件以手动更改其密钥以减少暴露的原因。

今天的问题只是微软最新的安全噩梦。该公司的部分源代码在 12 月底被 SolarWinds 黑客窃取,其Exchange 电子邮件服务器在 3 月份遭到破坏并涉及勒索软件攻击,最近的一个打印机缺陷使攻击者能够以系统级权限接管计算机。但随着全球数据越来越多地转移到 Azure 等集中式云服务,今天的启示可能是微软迄今为止最令人不安的发展。