软餐获悉,近日,安全研究人员在 Microsoft Azure 中发现了一个严重的安全漏洞,可以让攻击者不受限制地访问存储在其 Cosmos DB 服务上的所有数据库。
网络安全公司 Wiz 的研究人员发现,获取数据库的主键不仅是可能的,而且是微不足道的。这个被称为 ChoasDB 的漏洞可能自 2019 年推出 Jupyter Notebook 以来就已经存在,它使攻击者能够访问、编辑和删除数据或整个数据库。微软无法自行更改主键,并已通过电子邮件向客户建议他们这样做;但微软公司因未能联系到足够数量的用户而受到批评。
Wiz 首席技术官 Ami Luttwak 在接受路透社采访时表示:“这是你能想象到的最严重的云漏洞。这是一个长期的秘密。这是 Azure 的中央数据库,我们能够访问任何我们想要的客户数据库。”
Wiz 在一篇博客文章中透露了这个严重的安全问题的部分细节,其中解释了它如何能够 “ 完全不受限制地访问数千个 Microsoft Azure 客户的帐户和数据库,包括许多财富 500 强公司”。
令人担忧的是,即使客户从未使用过 Jupyter Notebook 功能,数据库的主键也可能已暴露。这是因为在今年 2 月,每个新创建的 Cosmos DB 帐户都默认启用了 Jupyter Notebook 功能。 Wiz 警告称:如果客户在前三天未使用该功能,则该功能将被自动禁用。在该窗口期间利用该漏洞的攻击者可以获得主键并可以持续访问 Cosmos DB 帐户。
微软发表声明称:
2021 年 8 月 12 日,一名安全研究人员报告了 Azure Cosmos DB Jupyter Notebook 功能中的一个漏洞,该漏洞可能允许用户使用帐户的主读写密钥访问其他客户的资源。我们立即修复了该漏洞。
我们的调查表明,第三方或安全研究人员没有因为此漏洞而访问任何客户数据。我们已通知在研究人员活动期间其密钥可能受到影响的客户重新生成他们的密钥。
目前,微软已经联系了大约 3,300 名客户,建议他们使用密钥,Wiz 认为这还不够,认为应该告诉所有用户更改他们的安全凭证。
微信扫一扫