微軟 Azure 云漏洞是“你能想象的最糟糕”

微軟已經(jīng)警告數(shù)以千計的 Azure 云計算客戶，包括許多財富 500 強公司，一個漏洞導(dǎo)致他們的數(shù)據(jù)在過去兩年中完全暴露。

微軟 Azure Cosmos DB 數(shù)據(jù)庫產(chǎn)品中的一個缺陷讓超過 3,300 名 Azure 客戶開放以完成攻擊者的無限制訪問。該漏洞于 2019 年引入，當(dāng)時微軟向 Cosmos DB 添加了名為 Jupyter Notebook 的數(shù)據(jù)可視化功能。該功能在 2021 年 2 月默認(rèn)為所有 Cosmos DB 啟用。

一個Azure的宇宙DB客戶端的房源包括像可口可樂，利寶互助保險，埃克森美孚公司和沃爾格林公司，僅舉幾例。

“這是你能想象到的最嚴(yán)重的云漏洞，”發(fā)現(xiàn)該問題的安全公司 Wiz 的首席技術(shù)官 Ami Luttwak 說?！斑@是 Azure 的中央數(shù)據(jù)庫，我們能夠訪問我們想要的任何客戶數(shù)據(jù)庫?！?/p>

盡管存在嚴(yán)重性和風(fēng)險，但 Microsoft 尚未發(fā)現(xiàn)任何導(dǎo)致非法數(shù)據(jù)訪問的漏洞的證據(jù)。“沒有證據(jù)表明這種技術(shù)被惡意行為者利用，”微軟在一封電子郵件聲明中告訴彭博社?！拔覀儾恢烙捎诖寺┒炊L問了任何客戶數(shù)據(jù)?！?nbsp;據(jù)路透社報道，微軟為這一發(fā)現(xiàn)向 Wiz 支付了 40,000 美元。在發(fā)布到 Microsoft 安全響應(yīng)中心的更新中，該公司表示其取證調(diào)查包括查看日志以查找過去的任何當(dāng)前活動或類似事件。“我們的調(diào)查顯示，除了研究人員的活動之外，沒有任何未經(jīng)授權(quán)的訪問，”微軟表示。在一篇詳細(xì)的博客文章中，Wiz 表示 Jupyter Notebook 引入的漏洞允許該公司的研究人員訪問為 Microsoft 客戶保護(hù) Cosmos DB 數(shù)據(jù)庫的主鍵。有了這些密鑰，Wiz 就可以完全讀取/寫入/刪除數(shù)千個 Microsoft Azure 客戶的數(shù)據(jù)。

Wiz 表示，它在兩周前發(fā)現(xiàn)了這個問題，微軟在 Wiz 報告后 48 小時內(nèi)禁用了該漏洞。但是，Microsoft 無法更改其客戶的主要訪問密鑰，這就是該公司向 Cosmos DB 客戶發(fā)送電子郵件以手動更改其密鑰以減少暴露的原因。

今天的問題只是微軟最新的安全噩夢。該公司的部分源代碼在 12 月底被 SolarWinds 黑客竊取，其Exchange 電子郵件服務(wù)器在 3 月份遭到破壞并涉及勒索軟件攻擊，最近的一個打印機缺陷使攻擊者能夠以系統(tǒng)級權(quán)限接管計算機。但隨著全球數(shù)據(jù)越來越多地轉(zhuǎn)移到 Azure 等集中式云服務(wù)，今天的啟示可能是微軟迄今為止最令人不安的發(fā)展。