Microsoft alerta milhares de clientes da nuvem sobre bancos de dados expostos | Noticias do mundo

A Microsoft alertou na quinta-feira milhares de seus clientes de computação em nuvem, incluindo algumas das maiores empresas do mundo, que invasores podem ter a capacidade de ler, alterar ou até mesmo excluir seus principais bancos de dados, de acordo com uma cópia do e-mail e um pesquisador de segurança cibernética.

A vulnerabilidade está no principal banco de dados Cosmos DB do Microsoft Azure. Uma equipe de pesquisa da empresa de segurança Wiz descobriu que ele era capaz de acessar chaves que controlam o acesso a bancos de dados mantidos por milhares de empresas. O diretor de tecnologia da Wiz, Ami Luttwak, é ex-diretor de tecnologia do Grupo de segurança em nuvem da Microsoft.

Como a Microsoft não pode alterar essas chaves por si mesma, ela enviou um e-mail aos clientes na quinta-feira, dizendo-lhes para criarem novas. A Microsoft concordou em pagar ao Wiz $ 40.000 para encontrar a falha e relatá-la, de acordo com um e-mail enviado ao Wiz.

A Microsoft disse que não fez comentários imediatos.

O e-mail da Microsoft para os clientes disse que corrigiu a vulnerabilidade e que não havia evidências de que a falha foi explorada. “Não temos nenhuma indicação de que entidades externas fora do pesquisador (Wiz) tiveram acesso à chave primária de leitura e gravação”, disse o e-mail.

“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro ”, disse Luttwak à Reuters. “Este é o banco de dados central do Azure, e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos.”

A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto, disse Luttwak.

A falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão no Cosmos a partir de fevereiro. Depois que a Reuters relatou a falha, o Wiz detalhou o problema https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases em uma postagem do blog.

Luttwak disse que mesmo os clientes que não foram notificados pela Microsoft podem ter suas chaves roubadas por invasores, dando-lhes acesso até que essas chaves sejam alteradas. A Microsoft só disse aos clientes cujas chaves estavam visíveis neste mês, quando Wiz estava trabalhando no problema.

A divulgação ocorre após meses de más notícias de segurança para a Microsoft. A empresa foi violada pelos mesmos suspeitos hackers do governo russo que se infiltraram na SolarWinds, que roubaram o código-fonte da Microsoft. Então, um grande número de hackers invadiu os servidores de e-mail do Exchange enquanto um patch estava sendo desenvolvido.

Uma correção recente para uma falha de impressora que permitia a aquisição de computadores teve que ser refeita várias vezes. Outra falha do Exchange na semana passada gerou um aviso urgente do governo dos EUA https://us-cert.cisa.gov/ncas/current-activity/2021/08/21/urgent-protect-against-active-exploitation-proxyshell de que os clientes precisam instalar patches lançados meses atrás porque gangues de ransomware agora o estão explorando.

Os problemas com o Azure são especialmente preocupantes, porque a Microsoft e especialistas em segurança externos têm pressionado as empresas a abandonar a maior parte de sua própria infraestrutura e confiar na nuvem para obter mais segurança.

Mas embora os ataques à nuvem sejam mais raros, eles podem ser mais devastadores quando ocorrem. Além do mais, alguns nunca são divulgados.

Um laboratório de pesquisa contratado pelo governo federal rastreia todas as falhas de segurança conhecidas no software e as classifica de acordo com a gravidade. Mas não existe um sistema equivalente para falhas na arquitetura da nuvem, então muitas vulnerabilidades críticas permanecem não reveladas aos usuários, disse Luttwak.