微軟已經(jīng)警告數(shù)以千計(jì)的 Azure 云計(jì)算客戶����,包括許多財(cái)富 500 強(qiáng)公司����,一個(gè)漏洞導(dǎo)致他們的數(shù)據(jù)在過去兩年中完全暴露�。
微軟已經(jīng)警告數(shù)以千計(jì)的 Azure 云計(jì)算客戶,包括許多財(cái)富 500 強(qiáng)公司��,一個(gè)漏洞導(dǎo)致他們的數(shù)據(jù)在過去兩年中完全暴露����。
微軟 Azure Cosmos DB 數(shù)據(jù)庫(kù)產(chǎn)品中的一個(gè)缺陷讓超過 3,300 名 Azure 客戶開放以完成攻擊者的無(wú)限制訪問。該漏洞于 2019 年引入����,當(dāng)時(shí)微軟向 Cosmos DB 添加了名為 Jupyter Notebook 的數(shù)據(jù)可視化功能。該功能在 2021 年 2 月默認(rèn)為所有 Cosmos DB 啟用。
一個(gè)Azure的宇宙DB客戶端的房源包括像可口可樂�����,利寶互助保險(xiǎn)�,埃克森美孚公司和沃爾格林公司�,僅舉幾例。
“這是你能想象到的最嚴(yán)重的云漏洞���,”發(fā)現(xiàn)該問題的安全公司 Wiz 的首席技術(shù)官 Ami Luttwak 說�����?�!斑@是 Azure 的中央數(shù)據(jù)庫(kù)��,我們能夠訪問我們想要的任何客戶數(shù)據(jù)庫(kù)�?���!?/p>
盡管存在嚴(yán)重性和風(fēng)險(xiǎn),但 Microsoft 尚未發(fā)現(xiàn)任何導(dǎo)致非法數(shù)據(jù)訪問的漏洞的證據(jù)�?��!皼]有證據(jù)表明這種技術(shù)被惡意行為者利用���,”微軟在一封電子郵件聲明中告訴彭博社��?���!拔覀儾恢烙捎诖寺┒炊L問了任何客戶數(shù)據(jù)����。” 據(jù)路透社報(bào)道�,微軟為這一發(fā)現(xiàn)向 Wiz 支付了 40,000 美元。在發(fā)布到 Microsoft 安全響應(yīng)中心的更新中���,該公司表示其取證調(diào)查包括查看日志以查找過去的任何當(dāng)前活動(dòng)或類似事件���。“我們的調(diào)查顯示�����,除了研究人員的活動(dòng)之外,沒有任何未經(jīng)授權(quán)的訪問�,”微軟表示。在一篇詳細(xì)的博客文章中��,Wiz 表示 Jupyter Notebook 引入的漏洞允許該公司的研究人員訪問為 Microsoft 客戶保護(hù) Cosmos DB 數(shù)據(jù)庫(kù)的主鍵�。有了這些密鑰,Wiz 就可以完全讀取/寫入/刪除數(shù)千個(gè) Microsoft Azure 客戶的數(shù)據(jù)�����。
Wiz 表示�����,它在兩周前發(fā)現(xiàn)了這個(gè)問題�����,微軟在 Wiz 報(bào)告后 48 小時(shí)內(nèi)禁用了該漏洞��。但是�����,Microsoft 無(wú)法更改其客戶的主要訪問密鑰��,這就是該公司向 Cosmos DB 客戶發(fā)送電子郵件以手動(dòng)更改其密鑰以減少暴露的原因。
今天的問題只是微軟最新的安全噩夢(mèng)��。該公司的部分源代碼在 12 月底被 SolarWinds 黑客竊取�����,其Exchange 電子郵件服務(wù)器在 3 月份遭到破壞并涉及勒索軟件攻擊�����,最近的一個(gè)打印機(jī)缺陷使攻擊者能夠以系統(tǒng)級(jí)權(quán)限接管計(jì)算機(jī)����。但隨著全球數(shù)據(jù)越來(lái)越多地轉(zhuǎn)移到 Azure 等集中式云服務(wù)����,今天的啟示可能是微軟迄今為止最令人不安的發(fā)展。
閩公網(wǎng)安備 35010202001226號(hào)
