Microsoft avisa milhares de clientes da nuvem sobre bancos de dados expostos
A vulnerabilidade está em Microsoft Azureo principal banco de dados Cosmos DB. Uma equipe de pesquisa da empresa de segurança Wiz descobriu que ele era capaz de acessar chaves que controlam o acesso a bancos de dados mantidos por milhares de empresas. O diretor de tecnologia da Wiz, Ami Luttwak, é ex-diretor de tecnologia do Grupo de segurança em nuvem da Microsoft.
Como a Microsoft não pode alterar essas chaves por si mesma, ela enviou um e-mail aos clientes na quinta-feira, dizendo-lhes para criarem novas. A Microsoft concordou em pagar ao Wiz $ 40.000 para encontrar a falha e relatá-la, de acordo com um e-mail enviado ao Wiz.
“Corrigimos esse problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidades”, disse a Microsoft à Reuters.
O e-mail da Microsoft para os clientes dizia que não havia evidências de que a falha tivesse sido explorada. “Não temos nenhuma indicação de que entidades externas fora do pesquisador (Wiz) tiveram acesso à chave primária de leitura e gravação”, disse o e-mail.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro”, disse Luttwak à Reuters. “Este é o banco de dados central do Azure e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos.”
A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto, disse Luttwak.
A falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitado por padrão no Cosmos a partir de fevereiro. Depois que a Reuters relatou a falha, Wiz detalhou o problema em um blog.
Luttwak disse que mesmo os clientes que não foram notificados pela Microsoft podem ter suas chaves roubadas por invasores, dando-lhes acesso até que essas chaves sejam alteradas. A Microsoft só disse aos clientes cujas chaves estavam visíveis neste mês, quando Wiz estava trabalhando no problema.
A Microsoft disse à Reuters que “os clientes que podem ter sido afetados receberam uma notificação nossa”, sem dar mais detalhes.
A divulgação ocorre após meses de más notícias de segurança para a Microsoft. A empresa foi violada pelos mesmos hackers suspeitos do governo russo que se infiltraram SolarWinds, que roubou o código-fonte da Microsoft. Então, um grande número de hackers invadiu os servidores de e-mail do Exchange enquanto um patch estava sendo desenvolvido.
Uma correção recente para uma falha de impressora que permitia a aquisição de computadores teve que ser refeita várias vezes. Outra falha do Exchange na semana passada gerou um aviso urgente do governo dos EUA de que os clientes precisam instalar patches lançados meses atrás porque gangues de ransomware agora estão explorando isso.
Os problemas com o Azure são especialmente preocupantes, porque a Microsoft e especialistas em segurança externos têm pressionado as empresas a abandonar a maior parte de sua própria infraestrutura e confiar na nuvem para obter mais segurança.
Mas embora os ataques à nuvem sejam mais raros, eles podem ser mais devastadores quando ocorrem. Além do mais, alguns nunca são divulgados.
Um laboratório de pesquisa contratado pelo governo federal rastreia todas as falhas de segurança conhecidas no software e as classifica de acordo com a gravidade. Mas não existe um sistema equivalente para falhas na arquitetura da nuvem, então muitas vulnerabilidades críticas permanecem não reveladas aos usuários, disse Luttwak.
FacebookTwitterLinkedin
Source link
