EKSKLUZYWNY Microsoft ostrzega tysiące klientów w chmurze o ujawnionych bazach danych

SAN FRANCISCO, 26 sierpnia (Reuters) — Microsoft (MSFT.O) Ostrzegł w czwartek tysiące swoich klientów korzystających z chmury obliczeniowej, w tym niektóre z największych korporacji na świecie, że intruzi mogą mieć możliwość odczytywania, modyfikowania, a nawet usuwania swoich głównych baz danych, zgodnie z kopią wiadomości e-mail i badaczem cyberbezpieczeństwa.

Słaby punkt tkwi we flagowej bazie danych Cosmos DB od Microsoft Azure. Zespół badawczy z firmy Wiz zajmującej się bezpieczeństwem odkrył, że jest w stanie uzyskać dostęp do kluczy kontrolujących dostęp do baz danych tysięcy firm. Wiz Chief Technology Officer Ami Luttwak jest byłym Chief Technology Officer w Cloud Security Group firmy Microsoft.

Ponieważ Microsoft nie może sam zmienić tych kluczy, w czwartek wysłał klientom wiadomość e-mail z prośbą o utworzenie nowych. Według wiadomości e-mail wysłanej do Wiz, Microsoft zgodził się zapłacić Wizowi 40 000 dolarów za znalezienie i zgłoszenie błędu.

„Natychmiast naprawiliśmy ten problem, aby zapewnić naszym klientom bezpieczeństwo. Dziękujemy badaczom bezpieczeństwa za pracę nad skoordynowanym ujawnianiem luk w zabezpieczeniach ”- powiedział Microsoft Reuterowi.

W wiadomości e-mail od Microsoftu do klientów stwierdzono, że nie ma dowodów na to, że błąd został wykorzystany. „Nie mamy dowodów na to, że podmioty zewnętrzne spoza badacza (Wiz) miały dostęp do podstawowego klucza odczytu i zapisu” – czytamy w e-mailu.

„To najgorsza luka w zabezpieczeniach chmury, jaką można sobie wyobrazić. To długo działająca tajemnica ”- powiedział Luttwak Reuterowi. „To jest centralna baza danych Azure i mogliśmy uzyskać dostęp do dowolnej bazy danych klientów, jaką chcieliśmy”.

Zespół Luttwaka znalazł problem, nazwany ChaosDB, 9 sierpnia i powiadomił Microsoft 12 sierpnia, powiedział Luttwak.

Błąd był w narzędziu do wizualizacji o nazwie Jupyter Notebook, który był dostępny od lat, ale został domyślnie aktywowany w Cosmos od lutego. Po zgłoszeniu błędu przez Reutersa Wiz szczegółowo opisz problem w poście na blogu.

Luttwak powiedział, że nawet klienci, którzy nie zostali powiadomieni przez Microsoft, mogli zostać skradzione przez osoby atakujące, aby zapewnić im dostęp do czasu ich zmiany. Microsoft ogłosił dopiero w tym miesiącu klientom, których klucze były widoczne, gdy Wiz pracował nad tym problemem.

Microsoft powiedział agencji Reuters, że „klienci, których mogło to dotyczyć, otrzymali od nas powiadomienie” bez dalszych wyjaśnień.

Ujawnienie następuje po miesiącach złych wiadomości o bezpieczeństwie dla Microsoftu. Firma została zaatakowana przez tych samych podejrzanych hakerów z rosyjskiego rządu, którzy zinfiltrowali SolarWinds. kto ukradł kod źródłowy Microsoft. Następnie wielu hakerów włamało się na serwery poczty Exchange podczas opracowywania łatki.

Niedawna poprawka błędu drukarki, która umożliwiała przejmowanie komputerów, musiała zostać ponowiona. Kolejny błąd Exchange w zeszłym tygodniu spowodował jeden pilne ostrzeżenie rządu USA klienci muszą instalować łatki wydane kilka miesięcy temu, ponieważ gangi ransomware wykorzystują je teraz.

Problemy z platformą Azure są szczególnie niepokojące, ponieważ Microsoft i zewnętrzni eksperci ds. bezpieczeństwa namawiają firmy do porzucenia większości własnej infrastruktury i polegania na chmurze w celu zwiększenia bezpieczeństwa.

Chociaż ataki w chmurze są mniej powszechne, mogą być bardziej niszczycielskie, gdy się pojawią. Ponadto niektóre nigdy nie są publikowane.

Laboratorium badawcze działające na zlecenie państwa śledzi wszystkie znane luki w zabezpieczeniach oprogramowania i ocenia je pod kątem ich powagi. Ale nie ma równoważnego systemu luk w architekturze chmury, więc wiele krytycznych luk pozostaje ukrytych przed użytkownikami, powiedział Luttwak.

Sprawozdawczość Josepha Menna; Adaptacja Williama Mallarda

Nasze standardy: Zasady zaufania Thomson Reuters.