Microsoft brīdina tūkstošiem Azure mākoņpakalpojuma klientu, tostarp daudzus Fortune 500 uzņēmumus, par ievainojamību, kuras dēļ viņu dati pēdējo divu gadu laikā ir bijuši pilnībā atklāti.
Nepilnība Microsoft Azure Cosmos DB datubāzes produktā ļāva uzbrucējiem netraucēti piekļūt vairāk nekā 3300 Azure klientu datiem. Neaizsargātība tika ieviesta 2019. gadā, kad Microsoft Cosmos DB pievienoja datu vizualizācijas funkciju ar nosaukumu Jupyter Notebook. Šī funkcija pēc noklusējuma tika ieslēgta visiem Cosmos DB klientiem 2021. gada februārī.
Azure Cosmos DB klientu sarakstā (pieejams šeit) ir iekļauti tādi lieli uzņēmumi kā Skype, Coca Cola, Liberty Mutual Insurance un daudzi citi.
“Šī ir sliktākā mākoņpakalpojuma ievainojamība, kādu varat iedomāties,” skaidro Ami Luttwak, drošības uzņēmuma Wiz galvenais tehnoloģiju virsnieks, kurš atklāja šo problēmu. “Šī ir Azure centrālā datu bāze, un mēs varējām piekļūt jebkurai izvēlētai klientu datu bāzei.”
Neskatoties uz nopietnību un risku, Microsoft nav konstatējis nevienu pierādījumu par nelikumīgu piekļuvi datiem. “Nav pierādījumu tam, ka kāds būtu ļaunprātīgi izmantojis šo paņēmienu,” Microsoft raksta paziņojumā Bloomberg. “Mēs nezinām nevienu gadījumu, ka šīs ievainojamības dēļ būtu piekļūts klientu datiem.” Par atklājumu Microsoft samaksāja Wiz 40’000 ASV dolārus, ziņo Reuters.
Detalizētā bloga ierakstā Wiz skaidro, ka Jupyter Notebook ievainojamība ļāva piekļūt primārajām atslēgām, kas sargāja Microsoft klientu Cosmos DB datu bāzes. Izmantojot minētās atslēgas, Wiz bija pilna piekļuve vairāku tūkstošu Microsoft Azure klientu datu lasīšanai, rediģēšanai un dzēšanai.
Wiz saka, ka problēmu atklāja pirms divām nedēļām, un Microsoft atspējoja ievainojamību 48 stundu laikā pēc tam, kad Wiz par to ziņoja. Tomēr Microsoft nevar mainīt savu klientu primārās piekļuves atslēgas, tāpēc Cosmos DB klientiem tika izsūtīti e-pasti ar aicinājumu manuāli mainīt atslēgas, lai mazinātu ļaunprātīgu uzbrukumu iespējamību.
Šīs ievainojamības atklāšana ir tikai jaunākais Microsoft murgs. Decembra beigās SolarWinds hakeriem izdevās nozagt daļu Microsoft pirmskoda, martā tika uzlauzti un izpirkuma programmatūras uzbrukumos iesaistīti uzņēmuma Exchange e-pasta serveri, un nesenā printera kļūda ļāva uzbrucējiem pārņemt datorus ar sistēmas līmeņa privilēģijām. Bet, tā kā pasaules dati arvien vairāk tiek pārvietoti uz centralizētiem mākoņa pakalpojumiem, piemēram, Azure, šis atklājums varētu būt Microsoft līdz šim nopietnākais atgadījums.