Ujawniono kolejną ogromną lukę w zabezpieczeniach Microsoftu, przez co gigant zmuszony jest powiadomić tysiące klientów Azure, że ich dane wyciekły. Exploit pozostawił bazy danych wielu znanych firm otwartymi na nieautoryzowany dostęp do odczytu/zapisu. Całość doczekała się nawet swojej nazwy, która brzmi ChaosDB.

Microsoft z luką ChaosDB

Microsoft z luką ChaosDB

Problemem jest usługa bazy danych Cosmos DB w Microsoft Azure. Jak podkreśla firma badawcza Wiz:

Seria błędów w funkcji Cosmos DB stworzyła lukę pozwalającą każdemu użytkownikowi na pobieranie, usuwanie lub manipulowanie ogromną kolekcją komercyjnych baz danych, jak również na dostęp w trybie odczytu i zapisu do podstawowej architektury Cosmos DB.

Tamtejszy zespół obwinia serię błędnych konfiguracji w Cosmos DB za pozostawienie otwartej drogi do uzyskania dostępu przez hakerów. Po pierwsze, Microsoft włączył nowe narzędzie do wizualizacji w Cosmos DB jeszcze w 2019 roku, a następnie włączył je domyślnie w lutym tego roku. Jednak w tym procesie pozwolił również atakującym poszukującym kluczy podstawowych Cosmos DB na ich przechwycenie.

Zobacz też: Google planuje przywrócić jedną z najbardziej przydatnych funkcji audio w Chrome

Dzięki tym kluczom Wiz był w stanie zabezpieczyć długoterminowy dostęp do aktywów i danych, które firmy przechowywały w Azure. Obejmowało to pełne uprawnienia do odczytu, zapisu i usuwania danych. Wiz powiadomił o problemie Microsoft, który wyłączył funkcję w ciągu 48 godzin. Firma będzie ją przeprojektowywać, a opcja wizualizacji jest obecnie wyłączona. To jednak nie rozwiązuje problemów. Jak podkreśla Wiz:

Klienci nadal mogą być poszkodowani, ponieważ ich podstawowe klucze dostępu były potencjalnie narażone. W przypadku ich naruszenia, atakujący mógłby użyć klucza do eksfiltracji baz danych. Dzisiaj Microsoft powiadomił ponad 30% klientów Cosmos DB, że muszą ręcznie rotować swoje klucze dostępu, aby zminimalizować to zagrożenie.

Wiz zaleca wszystkim posiadaczom kont Cosmos DB, aby postępowali zgodnie z przewodnikiem Microsoftu w celu regeneracji i rotacji kluczy dla swojego konta. W oświadczeniu Microsoft podkreślił, że nie ma żadnych dowodów na to, że ktoś w ogóle wykorzystał tę lukę.

Źródło: Wiz

Google News
Obserwuj ANDROID.COM.PL w Google News i bądź zawsze na bieżąco!
Obserwuj

Paweł Maretycz

Sceptyczny fan nowych technologii. Uwielbia małe urządzenia, nawet jego komputer to mini ITX.