Hatalmas sérülékenység fenyegeti a Microsoft felhős ügyfeleit

Úgy tűnik, hogy a Microsoft ügyfeleinek felhős adatbázisaiba könnyedén belenézhettek a támadók, de változtatásokat és törléseket is végrehajthattak.

A Microsoft a felhős ügyfelei közül több ezret figyelmeztetett arra (többek között a világ legnagyobb vállalatait is), hogy a támadók a fő felhős adatbázisaikat képesek lehettek olvasni, megváltoztatni vagy törölni.

A sérülékenységet a Microsoft Azure Cosmos DB adatbázisában fedezte fel a Wiz biztonsági csapata (konkrétan a Jupyter Notebook vizualizációs eszköz volt a ludas). Olyan kulcsokhoz fértek hozzá, amelyeken keresztül több ezer cég adatbázisát lehetett elérni (a Wiz technológiai igazgatója ironikus módon a Microsoft Cloud Security Group korábbi technológiai igazgatója).

A gondot az jelenti, hogy a Microsoft maga nem változtathatja meg a problémás kulcsokat, ezért e-mailben kereste meg az ügyfeleit, hogy hozzanak létre újakat. A Wiz számára 40 ezer dolláros juttatást fizet a hiba feltárásáért a cég. Állítólag azonnal intézkedtek az ügyfelek biztonságát szem előtt tartva, és hozzátették, nincs rá bizonyíték, hogy bárki kihasználta a biztonsági rést, és hozzáfért volna az elsődleges olvasási-írási kulcshoz.

A Wiz szerint egyébként ez a létező legrosszabb felhős sérülékenység, amit csak el lehet képzelni. Mivel az Azure központi adatbázisáról van szó, ezért a Wiz gyakorlatilag bármelyik ügyfél adatbázisához hozzáfért, csak választania kellett. A ChaosDB fedőnevű problémát augusztus 9-én találták meg, 3 nappal később jelentették a Microsoftnak.

A Wiz azt állítja, hogy azok is veszélyben lehettek és lehetnek, akiket a Microsoft nem értesített, ezért fontos megváltoztatni a kulcsokat. Mindez újabb rossz hír a Microsoft számára a SolarWinds-botrány, az Exchange-botrányok, a nyomtatós hibák és a héten, a Fehéz Házban tartott kiberbiztonsági találkozó fényében. Az eset a szakemberek szerint azért is aggasztó, mert a Microsoft és a külsős szakértők folyamatos nyomást helyeznek a cégekre, hogy a saját infrastruktúrájuk helyett a nagy felhős szolgáltatókra hagyatkozzanak. A Reuters szerint hiába lehetnek így ritkábbak a támadások, ha egyszer gond van, akkor az hatalmas lehet, sok esetben pedig nem hozzák nyilvánosságra a történteket.

Hirdetés

Azóta történt

Előzmények