A Microsoft alertou milhares de seus clientes de computação em nuvem Azure, incluindo muitas empresas da Fortune 500, sobre uma vulnerabilidade que deixou seus dados completamente expostos nos últimos dois anos.
Uma falha no produto de banco de dados Azure Cosmos DB da Microsoft deixou mais de 3.300 clientes do Azure abertos para acesso total e irrestrito por invasores. A vulnerabilidade foi introduzida em 2019 quando a Microsoft adicionou um recurso de visualização de dados chamado Jupyter Notebook ao Cosmos DB. O recurso foi ativado por padrão para todos os bancos de dados Cosmos em fevereiro de 2021.
PARA Lista de clientes do Azure Cosmos DB Inclui empresas como Coca Cola, Liberty Mutual Insurance, ExxonMobil e Walgreens, para citar apenas alguns.
“Esta é a pior vulnerabilidade na nuvem que você pode imaginar”, disse Ami Luttwak, diretor de tecnologia da Wiz, a empresa de segurança que descobriu o problema. “Este é o banco de dados central do Azure e fomos capazes de acessar qualquer banco de dados de clientes que quiséssemos.”
Apesar da gravidade e do risco apresentados, a Microsoft não viu nenhuma evidência da vulnerabilidade que leva ao acesso ilícito a dados. “Não há evidências de que essa técnica seja explorada por agentes mal-intencionados”, Microsoft disse Bloomberg em uma declaração enviada por e-mail. “Não temos conhecimento de nenhum dado de cliente sendo acessado devido a esta vulnerabilidade.” A Microsoft pagou à Wiz $ 40.000 pela descoberta, de acordo com Reuters.
em um postagem detalhada do blog, Wiz diz que a vulnerabilidade introduzida pelo Jupyter Notebook permitiu aos pesquisadores da empresa obter acesso às chaves primárias que protegiam os bancos de dados do Cosmos DB para clientes da Microsoft. Com essas chaves, Wiz tinha acesso total de leitura / gravação / exclusão aos dados de vários milhares de clientes do Microsoft Azure.
O Wiz diz que descobriu o problema há duas semanas e que a Microsoft desabilitou a vulnerabilidade 48 horas após ter sido notificada pelo Wiz. No entanto, a Microsoft não pode alterar as senhas principais de seus clientes, razão pela qual a empresa enviou um e-mail aos clientes do Cosmos DB para alterar manualmente suas senhas para reduzir a exposição.
O problema de hoje é apenas o mais recente pesadelo de segurança da Microsoft. A empresa tinha alguns de seus código-fonte roubado por hackers da SolarWinds no final de dezembro, seu Os servidores de e-mail do Exchange foram violados e envolvido em ataques de ransomware em março, e um recente defeito da impressora permitiu que invasores confiscassem computadores com privilégios de nível de sistema. Mas com os dados do mundo cada vez mais se movendo em direção a serviços de nuvem centralizados como o Azure, a revelação de hoje pode ser o desenvolvimento mais problemático até agora para a Microsoft.
