Il servizio Cosmos DB all’interno di Microsoft Azure contiene una vulnerabilità che ha consentito agli aggressori di ottenere l’accesso illimitato agli account e ai database di migliaia di clienti Microsoft Azure. Microsoft ha corretto la perdita e informato i clienti.
Wiz. Ricercatori di sicurezza Scopri che è possibile conoscere le chiavi primarie di Cosmos DB. Queste chiavi primarie consentono agli utenti di accedere a tutti i dati in Cosmos DB. Queste chiavi consentono agli utenti non solo di leggere i dati, ma anche di modificarli ed eliminarli.
Il problema è con Jupyter Notebook, una funzionalità all’interno di Cosmos DB che consente ai clienti di visualizzare i propri dati. Questa funzionalità è stata introdotta nel 2019 ed è stata abilitata automaticamente per tutti i client Cosmos DB lo scorso febbraio. Una serie di errori di configurazione all’interno di questa funzionalità del notebook ha portato all’apertura di un file vettori di attacco, Dicono i ricercatori.
Wiz non ha ancora rilasciato molti dettagli su queste configurazioni errate, anche se i ricercatori affermano che il contenitore del notebook è un file Escalation del franchising per altri taccuini dei clienti. con questo Onore escalation Un utente malintenzionato potrebbe ottenere l’accesso alle chiavi primarie del database Cosmos DB di un client.
I ricercatori hanno informato Microsoft, che ha dato ai ricercatori $ 40 mila e ha interrotto la funzionalità del laptop. Secondo Wiz, questa funzione è ancora disabilitata, in attesa di una correzione. Microsoft dice in un’e-mail ai clienti, che è stato visto da Reuters, che il problema è stato risolto e che non vi sono prove di abuso. Microsoft afferma solo che i ricercatori di Wiz ne erano a conoscenza.
Per inciso, Wiz ritiene che Microsoft non abbia informato abbastanza clienti. Microsoft ha informato solo i clienti le cui chiavi erano facili da vedere questo mese, secondo i ricercatori della sicurezza. Il creatore di Azure consiglia inoltre a questi clienti di allocare le proprie chiavi. Tuttavia, i ricercatori di Wiz sostengono che la perdita è presente in Cosmos DB da febbraio 2019 e che Microsoft dovrebbe informare più clienti. La stessa Wiz ha notificato a Microsoft il problema di sicurezza il 12 agosto, due giorni dopo, la funzione Jupyter Notebook è stata disabilitata.
“Specialista televisivo. Amichevole fanatico del web. Studioso di cibo. Drogato estremo di caffè.”