Pesquisadores e agência de segurança cibernética exigem ação dos usuários do banco de dados em nuvem da Microsoft
Pesquisadores de uma empresa de segurança em nuvem chamada Wiz descobriram este mês que poderiam ter obtido acesso às chaves digitais primárias para a maioria dos usuários do sistema de banco de dados Cosmos DB, permitindo que roubassem, alterassem ou excluíssem milhões de registros.
Alertada pelo Wiz, a Microsoft corrigiu rapidamente o erro de configuração que tornaria mais fácil para qualquer usuário do Cosmos acessar os bancos de dados de outros clientes, então notificou alguns usuários na quinta-feira para alterar suas chaves.
Em uma postagem de blog na sexta-feira, a Microsoft disse que alertou os clientes que haviam configurado o acesso ao Cosmos durante o período de pesquisa de uma semana. Ele não encontrou nenhuma evidência de que qualquer invasor tenha usado a mesma falha para entrar em contato com o cliente dados, observou.
“Nossa investigação não mostra nenhum acesso não autorizado além da atividade do pesquisador”, escreveu a Microsoft. “Notificações foram enviadas para todos os clientes que poderiam ser potencialmente afetados devido à atividade do pesquisador”, disse, talvez se referindo à chance de que a técnica vazou do Wiz.
“Embora nenhum dado do cliente tenha sido acessado, é recomendável que você gere novamente suas chaves primárias de leitura e gravação”, disse.
O Departamento de Segurança Interna dos EUA Cíber segurança e a Agência de Segurança de Infraestrutura usou linguagem mais forte em um boletim na sexta-feira, deixando claro que não se dirigia apenas aos notificados.
“A CISA encoraja fortemente os clientes do Azure Cosmos DB a criar e regenerar sua chave de certificado”, disse a agência.
Os especialistas da Wiz, fundada por quatro veteranos da equipe de segurança interna do Azure, concordaram.
“Na minha opinião, é realmente difícil para eles, senão impossível, descartar completamente que alguém usou isso antes”, disse um dos quatro, diretor de tecnologia da Wiz, Ami Luttwak. Na Microsoft, ele desenvolveu ferramentas para registrar incidentes de segurança na nuvem.
A Microsoft não deu uma resposta direta quando questionada se tinha logs abrangentes para os dois anos em que o recurso Jupyter Notebook estava mal configurado ou se havia usado outra maneira de descartar o abuso de acesso.
“Expandimos nossa pesquisa além das atividades do pesquisador para buscar todas as atividades possíveis para eventos atuais e semelhantes no passado”, disse o porta-voz Ross Richendrfer, recusando-se a responder a outras questões.
Wiz disse que a Microsoft trabalhou em estreita colaboração com ela na pesquisa, mas se recusou a dizer como poderia ter certeza de que os clientes anteriores estavam seguros.
“É assustador. Eu realmente espero que ninguém além de nós tenha encontrado esse bug”, disse um dos principais pesquisadores do projeto no Wiz, Sagi Tzadik.
FacebookTwitterLinkedin
Source link
