Ujawniona baza danych Microsoft w chmurze: badacze, agencja ds. cyberbezpieczeństwa zachęcają użytkowników do zmiany cyfrowych kluczy dostępu

Badacze, którzy w sobotę odkryli poważną lukę w kluczowych bazach danych przechowywanych na platformie chmurowej Azure firmy Microsoft, wezwali wszystkich użytkowników do zmiany swoich cyfrowych kluczy dostępu, a nie tylko 3300, o których zostali powiadomieni w tym tygodniu.

Jak po raz pierwszy doniósł Reuters, badacze z firmy zajmującej się bezpieczeństwem w chmurze o nazwie Wiz Odkryj w tym miesiącu Mieli dostęp do podstawowych kluczy numerycznych większości użytkowników systemu Cosmos DB, co pozwalało im ukraść, zmienić lub usunąć miliony rekordów.

zaalarmowany przez Wiz, Microsoft Błąd konfiguracji, który ułatwiłby każdemu użytkownikowi Cosmos dostęp do baz danych innych klientów, został szybko naprawiony, a następnie niektórzy użytkownicy w czwartek zgłosili zmianę swoich kluczy.

w Post na blogu Microsoft powiedział w piątek, że ostrzegł klientów, którzy skonfigurowali dostęp do Cosmos podczas tygodniowego okresu badań. Zauważył, że nie znalazł dowodów na to, że atakujący wykorzystali tę samą lukę w celu uzyskania dostępu do danych klientów.

„Nasze śledztwo pokazuje, że nie było nieautoryzowanego dostępu poza działalnością badaczy” — napisał Microsoft. „Powiadomienia zostały wysłane do wszystkich klientów potencjalnie dotkniętych działalnością badacza” – powiedziała, prawdopodobnie odnosząc się do możliwego wycieku technologii z Wiz.

„Chociaż nie masz dostępu do danych klientów, zaleca się odtworzenie podstawowych kluczy do odczytu i zapisu” – powiedziała.

Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury Departamentu Bezpieczeństwa Wewnętrznego USA użyła w piątkowym biuletynie mocniejszego sformułowania, wyjaśniając, że nie rozmawiała tylko z tymi, którzy zostali powiadomieni.

CISA zdecydowanie zachęca klientów Azure Cosmos DB do ponownego tworzenia i odnawiania klucza certyfikatu Powiedziała.

Eksperci w firmie Wiz, założonej przez czterech weteranów odwiedzam Zespół Bezpieczeństwa Krajowego, zgodził się.

„Moim zdaniem jest to naprawdę trudne, jeśli nie niemożliwe, aby całkowicie wykluczyć, że ktoś użył tego wcześniej” – powiedziała jedna z czterech, Amy Luttwak, dyrektor ds. technologii w Wiz. W firmie Microsoft opracował narzędzia do rejestrowania incydentów bezpieczeństwa w chmurze.

Microsoft nie udzielił bezpośredniej odpowiedzi na pytanie, czy ma obszerne dane z dwóch lat, gdy funkcja Jupyter Notebook była błędnie skonfigurowana, lub użył innej metody, aby wykluczyć nadużycie dostępu.

„Rozszerzyliśmy nasze poszukiwania poza działania badacza, aby znaleźć wszystkie możliwe działania bieżących i podobnych wydarzeń w przeszłości” – powiedział rzecznik Ross Rechinderfer, odmawiając odpowiedzi na inne pytania.

Wiese powiedziała, że ​​Microsoft ściśle współpracował z nią nad badaniami, ale odmówił podania, w jaki sposób zapewnił bezpieczeństwo poprzednim klientom.

To przerażające. Naprawdę chciałbym, żeby nikt oprócz nas nie znalazł tego błędu” – powiedział jeden z głównych badaczy projektu w Wiz, Sagi Tzadik.

© Thomson Reuters 2021