據報道,微軟的一封電子郵件和一位網絡安全研究員表示,該公司在周四警告了數千名雲計算客戶,包括一些世界上規模最大的企業,入侵者可能有能力閱讀、改變甚至刪除其主要數據庫。這一漏洞出現在微軟Azure的旗艦產品Cosmos數據庫中。安全公司Wiz的一個研究小組發現,它能夠訪問控制數千家公司持有的數據庫訪問權的密鑰。
資料圖(來自:Microsoft 官網)
Wiz公司首席技術官阿米·盧特瓦克(Ami Luttwak)是微軟雲安全集團的前首席技術官。
由於微軟不能自行更改這些密鑰,周四該公司給其客戶發送了電子郵件,告知他們要創建新的密鑰。微軟發給Wiz的電子郵件顯示,微軟同意向Wiz支付4萬美元,用於獎勵其發現並報告了這一漏洞。
微軟發言人拒絕立即就此事置評。
微軟在發給客戶的電子郵件中寫到,他們當前已經修復了這個漏洞,而且沒有證據表明這個漏洞已經被利用了。該公司寫道:“沒有跡象表明研究人員(Wiz)以外的外部實體能夠訪問主要的讀寫密鑰。”
盧特瓦克說道:“這是你能想象到的最糟糕的雲計算服務漏洞。這是一個長期存在的秘密。這是Azure的中央數據庫,我們能夠獲得我們想要的任何一個客戶的數據庫的訪問權限。”
盧特瓦克透露,他的團隊在8月9日發現了這個被命名為ChaosDB的漏洞,並且在8月12日將此問題報告給了微軟。
幾個月之前,微軟剛剛遇到了一個與安全相關的壞消息。該公司疑似被俄羅斯黑客入侵,他們盜取了微軟的一些源代碼。不久前,微軟還重新修復了一個問題,該問題允許計算機被打印機接管。上周,Exchange的一個電子郵件缺陷引發了美國政府的緊急警告,客戶需要安裝幾個月前發布的補丁,因為勒索軟件團伙現在正在利用這個缺陷。