微软已经警告其成千上万的Azure云计算客户,包括许多财富500强公司,一个漏洞使他们的数据在过去两年中完全泄露。
微软的Azure Cosmos DB数据库产品中的一个漏洞使3300多名Azure客户完全不受攻击者限制地访问。该漏洞是在2019年引入的,当时微软在Cosmos DB中增加了一个名为Jupyter Notebook的数据可视化功能。2021年2月,该功能被默认为所有Cosmos DB打开。
Azure Cosmos DB的客户名单包括可口可乐、Liberty Mutual Insurance、ExxonMobil和Walgreens等公司,仅举几例。
发现该问题的安全公司Wiz的首席技术官Ami Luttwak说:”这是你能想象到的最糟糕的云漏洞。这是Azure的中央数据库,我们能够获得我们想要的任何客户数据库的访问权。”
尽管存在严重性和风险,微软还没有看到任何证据表明该漏洞导致了非法数据访问。微软在一份电子邮件声明中告诉彭博社:”没有证据表明这一技术被恶意行为者利用。我们不知道有任何客户数据因为这个漏洞而被访问。” 据路透社报道,微软为这一发现向Wiz支付了40,000美元。在微软安全响应中心发布的更新中,该公司表示其取证调查包括通过日志查找任何当前活动或过去的类似事件。微软说:”我们的调查显示,除了研究人员的活动之外,没有任何未经授权的访问。”
在一篇详细的博客文章中,Wiz说,Jupyter Notebook引入的漏洞使该公司的研究人员能够获得确保微软客户的Cosmos DB数据库安全的主要密钥。有了上述密钥,Wiz可以完全读取/写入/删除几千名微软Azure客户的数据。
Wiz说,它在两周前发现了这个问题,微软在Wiz报告后48小时内禁用了这个漏洞。然而,微软不能改变其客户的主要访问密钥,这就是为什么该公司给Cosmos DB客户发送电子邮件,要求他们手动改变密钥,以减轻风险。
今天的问题只是微软的最新安全噩梦。12月底,该公司的一些源代码被SolarWinds的黑客窃取,3月份,其Exchange电子邮件服务器被攻破并卷入勒索软件攻击,最近的一个打印机缺陷允许攻击者以系统级权限接管计算机。但是,随着世界上的数据越来越多地转移到像Azure这样的集中式云服务,今天的启示可能是微软迄今为止最令人不安的发展。