САН-ФРАНЦИСКО, (Рейтер) - Microsoft (MSFT.O) в четверг предупредила тысячи своих клиентов по облачным вычислениям, включая некоторые из крупнейших мировых компаний, о том, что злоумышленники могут иметь возможность читать, изменять или даже удалять их основные базы данных. согласно копии электронного письма и исследователю кибербезопасности.
Уязвимость находится во флагманской базе данных Microsoft Azure Cosmos DB. Исследовательская группа компании Wiz, занимающейся безопасностью, обнаружила, что она может получить доступ к ключам, которые контролируют доступ к базам данных, принадлежащим тысячам компаний. Технический директор Wiz Ами Луттвак - бывший технический директор Microsoft Cloud Security Group.
Поскольку Microsoft не может изменить эти ключи самостоятельно, в четверг она разослала клиентам электронное письмо с просьбой создать новые. Согласно электронному письму, отправленному Wiz, Microsoft согласилась заплатить Wiz 40 000 долларов за обнаружение недостатка и сообщение о нем.
«Мы немедленно исправили эту проблему, чтобы наши клиенты были в безопасности и были защищены. Мы благодарим исследователей безопасности за работу в рамках скоординированного обнаружения уязвимостей», - заявила Microsoft Reuters.
В электронном письме Microsoft клиентам говорилось, что нет никаких доказательств использования уязвимости. «У нас нет никаких указаний на то, что внешние объекты, не относящиеся к исследователю (Wiz), имели доступ к первичному ключу чтения-записи», - говорится в электронном письме.
«Это худшая облачная уязвимость, которую вы можете себе представить. Это давний секрет », - сказал Люттвак Рейтер. «Это центральная база данных Azure, и мы могли получить доступ к любой базе данных клиентов, которую хотели».
Команда Латтвака обнаружила проблему, получившую название ChaosDB, 9 августа и уведомила Microsoft 12 августа, сказал Латтвак.
Недостаток был в инструменте визуализации под названием Jupyter Notebook, который был доступен уже много лет, но был включен по умолчанию в Cosmos с февраля. После того, как агентство Reuters сообщило об уязвимости, Виз подробно описал проблему в своем блоге.
Латтвак сказал, что даже клиенты, которые не были уведомлены Microsoft, могли получить свои ключи от злоумышленников, предоставив им доступ до тех пор, пока эти ключи не будут изменены. Microsoft сообщила клиентам, чьи ключи были видны только в этом месяце, когда Wiz работала над проблемой.
Microsoft сообщила Reuters, что «клиенты, которые могли пострадать, получили от нас уведомление», не вдаваясь в подробности.
Это раскрытие произошло после нескольких месяцев плохих новостей о безопасности для Microsoft. Компания была взломана теми же подозреваемыми российскими правительственными хакерами, которые проникли в SolarWinds и украли исходный код Microsoft . Затем большое количество хакеров взломали почтовые серверы Exchange, пока разрабатывался патч.
Недавнее исправление дефекта принтера, из-за которого компьютер был захвачен, приходилось неоднократно переделывать. Другой недостаток Exchange на прошлой неделе вызвал срочное предупреждение правительства США о том, что клиентам необходимо устанавливать исправления, выпущенные несколько месяцев назад, потому что теперь их используют банды вымогателей.
Проблемы с Azure вызывают особую тревогу, потому что Microsoft и внешние эксперты по безопасности подталкивают компании отказаться от большей части собственной инфраструктуры и полагаться на облако для большей безопасности.
Но хотя облачные атаки встречаются реже, они могут быть более разрушительными, когда происходят. Более того, некоторые никогда не публикуются.
Исследовательская лаборатория, работающая по федеральному контракту, отслеживает все известные недостатки безопасности в программном обеспечении и оценивает их по степени серьезности. Но нет эквивалентной системы для дыр в облачной архитектуре, поэтому многие критические уязвимости остаются нераскрытыми для пользователей, сказал Латтвак.