Ujawniono kolejną ogromną lukę w zabezpieczeniach Microsoftu, przez co gigant zmuszony jest powiadomić tysiące klientów Azure, że ich dane wyciekły. Exploit pozostawił bazy danych wielu znanych firm otwartymi na nieautoryzowany dostęp do odczytu/zapisu. Całość doczekała się nawet swojej nazwy, która brzmi ChaosDB.
Microsoft z luką ChaosDB
Problemem jest usługa bazy danych Cosmos DB w Microsoft Azure. Jak podkreśla firma badawcza Wiz:
Seria błędów w funkcji Cosmos DB stworzyła lukę pozwalającą każdemu użytkownikowi na pobieranie, usuwanie lub manipulowanie ogromną kolekcją komercyjnych baz danych, jak również na dostęp w trybie odczytu i zapisu do podstawowej architektury Cosmos DB.
Tamtejszy zespół obwinia serię błędnych konfiguracji w Cosmos DB za pozostawienie otwartej drogi do uzyskania dostępu przez hakerów. Po pierwsze, Microsoft włączył nowe narzędzie do wizualizacji w Cosmos DB jeszcze w 2019 roku, a następnie włączył je domyślnie w lutym tego roku. Jednak w tym procesie pozwolił również atakującym poszukującym kluczy podstawowych Cosmos DB na ich przechwycenie.
Zobacz też: Google planuje przywrócić jedną z najbardziej przydatnych funkcji audio w Chrome
Dzięki tym kluczom Wiz był w stanie zabezpieczyć długoterminowy dostęp do aktywów i danych, które firmy przechowywały w Azure. Obejmowało to pełne uprawnienia do odczytu, zapisu i usuwania danych. Wiz powiadomił o problemie Microsoft, który wyłączył funkcję w ciągu 48 godzin. Firma będzie ją przeprojektowywać, a opcja wizualizacji jest obecnie wyłączona. To jednak nie rozwiązuje problemów. Jak podkreśla Wiz:
Klienci nadal mogą być poszkodowani, ponieważ ich podstawowe klucze dostępu były potencjalnie narażone. W przypadku ich naruszenia, atakujący mógłby użyć klucza do eksfiltracji baz danych. Dzisiaj Microsoft powiadomił ponad 30% klientów Cosmos DB, że muszą ręcznie rotować swoje klucze dostępu, aby zminimalizować to zagrożenie.
Wiz zaleca wszystkim posiadaczom kont Cosmos DB, aby postępowali zgodnie z przewodnikiem Microsoftu w celu regeneracji i rotacji kluczy dla swojego konta. W oświadczeniu Microsoft podkreślił, że nie ma żadnych dowodów na to, że ktoś w ogóle wykorzystał tę lukę.
Źródło: Wiz