Exclusief – Microsoft waarschuwt duizenden cloudklanten voor blootgestelde databases

Geschreven door Joseph Min

SAN FRANCISCO (Reuters) – Microsoft waarschuwde donderdag duizenden van zijn cloud computing-klanten, waaronder enkele van ‘s werelds grootste, dat indringers de mogelijkheid zouden kunnen hebben om hun masterdatabases te lezen, te wijzigen of zelfs te verwijderen, volgens een kopie van de Mail. en cyberveiligheidsonderzoeker.

Het beveiligingslek zit in de toonaangevende Cosmos DB in Microsoft Azure. Een onderzoeksteam van beveiligingsbedrijf Wiz ontdekte dat het toegang kon krijgen tot de sleutels die de toegang tot databases beheren die door duizenden bedrijven worden beheerd. Amy Luttwak, Chief Technology Officer van Wiz, is de voormalige Chief Technology Officer van Microsoft’s Cloud Security Group.

Omdat Microsoft deze sleutels niet zelf kan wijzigen, heeft het klanten donderdag een e-mail gestuurd met de mededeling dat ze nieuwe sleutels moeten maken. Microsoft stemde ermee in Wiz $ 40.000 te betalen om de fout te vinden en te melden, volgens een e-mail die naar Wiz werd gestuurd.

“We hebben dit probleem onmiddellijk opgelost om onze klanten veilig en beschermd te houden”, zegt Microsoft tegen Reuters. “We danken de beveiligingsonderzoekers voor hun samenwerking met de gecoördineerde detectie van kwetsbaarheden.”

De e-mail die Microsoft naar klanten stuurde, zei dat er geen bewijs was van misbruik van de fout. “We hebben geen indicatie dat externe entiteiten buiten Wiz toegang hebben tot de primaire lees- en schrijfsleutel”, staat in de e-mail.

“Dit is de ergste kwetsbaarheid in de cloud die je je kunt voorstellen. Het is een al lang bestaand geheim”, vertelde Luttwak aan Reuters. “Dit is de centrale database voor Azure en we hadden toegang tot elke klantendatabase die we wilden.”

Luttwak zei dat het Luttwak-team het probleem, ChaosDB genaamd, op 9 augustus ontdekte en het op 12 augustus aan Microsoft rapporteerde.

De fout zat in een visualisatietool genaamd Jupyter Notebook, die al jaren beschikbaar is, maar vanaf februari standaard is ingeschakeld in Cosmos. Nadat Reuters de bug had gemeld, heeft Wiz het probleem https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases in een blogpost beschreven.

Het verhaal gaat verder

Luttwak zei dat zelfs klanten die niet door Microsoft op de hoogte waren gesteld, hun sleutels door aanvallers konden laten doorgeven, waardoor ze toegang kregen totdat die sleutels werden gewijzigd. Microsoft vertelde klanten wiens sleutels pas deze maand verschenen, toen Wiz aan een oplossing werkte.

“Klanten die mogelijk getroffen zijn, hebben een melding van ons ontvangen”, vertelde Microsoft aan Reuters, zonder verder uit te werken.

De onthulling komt na maanden van slecht beveiligingsnieuws voor Microsoft. Het bedrijf werd gehackt door dezelfde vermoedelijke hacker van de Russische overheid die SolarWinds infiltreerde, die de Microsoft-broncode stal https://www.reuters.com/article/us-cyber-solarwinds-microsoft-idUSKBN2AI2Q0. Toen brak een groot aantal hackers in op Exchange-e-mailservers tijdens de ontwikkeling van de patch.

Een defect in de printer dat frequente computeracquisities deed, moest worden gerepareerd. Een andere fout in de uitwisseling vorige week leidde tot een dringende waarschuwing van de Amerikaanse regering https://us-cert.cisa.gov/ncas/current-activity/2021/08/21/urgent-protect-against-active-exploitation-proxyshell dat klanten maanden geleden installatiepatches moeten hebben uitgebracht omdat ransomwarebendes ze nu uitbuiten.

De problemen van Azure zijn bijzonder verontrustend, omdat Microsoft en externe beveiligingsexperts bedrijven ertoe hebben aangezet om het grootste deel van hun infrastructuur te verlaten en op de cloud te vertrouwen voor meer beveiliging.

Maar hoewel cloudaanvallen zeldzaam zijn, kunnen ze nog verwoestender zijn als ze zich voordoen. Bovendien worden sommige daarvan nooit aangekondigd.

Een federaal gecontracteerd onderzoekslaboratorium volgt alle bekende beveiligingsfouten in software en rangschikt ze op basis van hun ernst. Er is geen gelijkwaardig systeem voor kwetsbaarheden in cloudarchitectuur, zei Luttwak, dus veel kritieke kwetsbaarheden blijven onbekend voor gebruikers.

(Rapportage door Joseph Main; redactie door William Mallard)