Výhradne Microsoft varuje tisíce zákazníkov cloudu pred odhalenými databázami

Logo Microsoft je vyfotografované v obchode v Manhattane v New Yorku, New York, USA, 25. januára 2021. REUTERS/Carlo Allegri

SAN FRANCISCO (Reuters) – Microsoft (MSFT.O) Tisíce zákazníkov cloud computingu, vrátane niektorých z najväčších svetových spoločností, vo štvrtok varovali, že podľa prepisu e -mailu a výskumníka v oblasti kybernetickej bezpečnosti môžu hackeri mať možnosť čítať, meniť alebo dokonca vymazať svoje hlavné databázy.

Táto chyba zabezpečenia spočíva v poprednej databáze Cosmos DB v systéme Microsoft Azure. Výskumný tím v bezpečnostnej firme Wiz zistil, že sa jej podarilo získať prístup ku kľúčom, ktoré riadia prístup k databázam spravovaným tisíckami spoločností. Amy Luttwak, technologická riaditeľka spoločnosti Wiz, je bývalá technologická riaditeľka skupiny Cloud Security Group spoločnosti Microsoft.

Pretože spoločnosť Microsoft nemôže tieto kľúče zmeniť sama, odoslala vo štvrtok zákazníkom e -mail s prosbou o vytvorenie nových kľúčov. Podľa e -mailu odoslaného spoločnosti Wiz spoločnosť Microsoft súhlasila s zaplatením Wiz 40 000 dolárov za nájdenie a nahlásenie chyby.

Microsoft uviedol, že nemá žiadne bezprostredné pripomienky.

E -mail spoločnosti Microsoft zákazníkom povedal, že chybu zabezpečenia je odstránená a že neexistuje žiadny dôkaz o tom, že by sa chyba dala využiť. „Nemáme žiadny náznak, že externé entity mimo Wiz majú prístup k primárnemu kľúču na čítanie a zápis,“ uvádza sa v e -maile.

„Toto je najhoršia zraniteľnosť v cloude, akú si dokážete predstaviť. Je to dlhodobé tajomstvo,“ povedal Luttwak pre agentúru Reuters. „Toto je centrálna databáza pre Azure a my sme mali prístup k akejkoľvek databáze zákazníkov, akú sme chceli.“

Luttwak uviedol, že tím Luttwak objavil problém s názvom ChaosDB 9. augusta a oznámil to spoločnosti Microsoft 12. augusta.

Chybou bol vizualizačný nástroj s názvom Jupyter Notebook, ktorý je k dispozícii už roky, ale od februára je v programe Cosmos predvolene povolený. Po nahlásení chyby agentúre Reuters Wiz Podrobnosti prípadu V príspevku na blogu.

READ  Pixel má problém s úložiskom v súvislosti s aktualizáciou Google Play z januára 2024

Luttwak uviedol, že dokonca aj zákazníkom, ktorí neboli upozornení spoločnosťou Microsoft, môžu útočníci odovzdať kľúče a poskytnúť im prístup, kým nebudú tieto kľúče zmenené. Spoločnosť Microsoft informovala zákazníkov, ktorých kľúče sa objavili iba tento mesiac, keď Wiz pracoval na oprave.

Odhalenie prichádza po mesiacoch zlých bezpečnostných správ pre Microsoft. Spoločnosť hackol ten istý podozrivý ruský vládny hacker, ktorý prenikol do SolarWinds, Kto ukradol zdrojový kód Microsoftu. Potom sa počas vývoja opravy prenikol na e -mailové servery Exchange veľký počet hackerov.

Chybu v tlačiarni, ktorá robila časté akvizície počítačov, bolo potrebné opraviť. Ďalšia chyba na akciovom trhu minulý týždeň viedla k vzniku Naliehavé varovanie vlády USA Zákazníci si musia nainštalovať opravy vydané pred niekoľkými mesiacmi, pretože gangy ransomwaru ich teraz zneužívajú.

Problémy Azure sú obzvlášť znepokojujúce, pretože Microsoft a externí bezpečnostní experti tlačia na spoločnosti, aby opustili väčšinu svojej infraštruktúry a spoliehali sa na cloud pre väčšiu bezpečnosť.

Napriek tomu, že cloudové útoky sú zriedkavé, môžu byť ešte ničivejšie, keď k nim dôjde. Navyše, niektorí z nich nie sú nikdy oznámení.

Federálne zmluvné výskumné laboratórium sleduje všetky známe bezpečnostné chyby softvéru a radí ich podľa závažnosti. Podľa Luttwaka neexistuje žiadny ekvivalentný systém zraniteľností v cloudovej architektúre, takže veľa kritických zraniteľností zostáva pre používateľov neznámych.

Reportáž Joseph Main. Strih: William Mallard

Naše kritériá: Zásady dôvery spoločnosti Thomson Reuters.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *