Фирма по обеспечению безопасности обнаружила проблему, которая позволила им получить доступ к большому количеству данных клиентов облачных служб Microsoft Azure, они сказали, что это «худшая уязвимость облака, которую вы можете себе представить». Microsoft заявляет, что ей неизвестно о том, что брешь в системе безопасности использовалась злоумышленниками.
Компания, обнаружившая уязвимость, могла получить доступ к базам данных, и у них была возможность не только просматривать контент, но также изменять и удалять информацию из базы данных Cosmos.
Исследовательская группа из охранной фирмы Wiz обнаружила, что они могут получить доступ к ключам, которые контролируют доступ к базам данных тысяч компаний. Технический директор Wiz, Ами Луттвак, бывший менеджер в группе облачной безопасности Microsoft, поэтому он также воспользовался преимуществом, когда дело дошло до обнаружения недостатка.
Чтобы получить доступ к базе данных Cosmos, сначала охранная фирма получила доступ к первичным ключам базы данных клиентов. Следует помнить, что в 2019 году Microsoft добавила функцию под названием Jupyter Notebook в базу данных Cosmos, которая позволяет клиентам визуализировать свои данные и создавать настраиваемые представления. Эта функция была автоматически включена для всех баз данных Cosmos в феврале 2021 года.
Wiz напоминает нам, что некоторые из компаний, использующих эту базу данных Cosmos, являются гигантами, такими как Coca-Cola, Exxon-Mobil и Citrix, что можно увидеть на собственном официальном сайте этой службы.
Microsoft не может изменить эти ключи
Поскольку Microsoft не может сама изменить эти ключи, в четверг она разослала клиентам электронное письмо с просьбой создать новые. Microsoft согласилась заплатить Wiz 40 000 долларов за обнаружение ошибки и сообщение о ней. Официальные лица Microsoft не комментируют проблему безопасности.
В электронном письме, которое Microsoft отправила Wiz, компания сообщила, что устранила уязвимость и что нет никаких доказательств того, что ошибка была использована. «У нас нет никаких указаний на то, что внешние объекты, не относящиеся к исследователю (Wiz), имели доступ к первичному ключу чтения-записи», – говорится в письме.
«Это худшая облачная уязвимость, которую вы можете себе представить. Это давний секрет », – заявляет технический директор Wiz Ами Луттвак. «Это центральная база данных Azure, и мы смогли получить доступ к любой базе данных клиентов, которую хотели», – добавляет он.